.
Acredita-se que até 300.000 servidores ou dispositivos na Internet pública estejam vulneráveis no momento à técnica de negação de serviço recentemente divulgada, que funciona contra alguns serviços de nível de aplicativo baseados em UDP.
Diz-se que certas implementações de TFTP, DNS e NTP, bem como protocolos legados, como Echo, Chargen e QOTD, estão em risco. A exploração pode resultar na queda de serviços, se não em máquinas ou redes inteiras. A julgar pelas verificações de DNS, NTP e TFTP, o maior número de sistemas potencialmente vulneráveis voltados para o público está na China, Rússia e América, seguidos pelo Irã, Coreia do Sul, Itália, França, Canadá e Brasil.
O método de ataque foi divulgado no início desta semana pelos pesquisadores Christian Rossow e Yepeng (Eric) Pan do Centro Helmholtz de Segurança da Informação da CISPA, na Alemanha.
É bastante trivial e basicamente depende do envio de uma mensagem de erro para, digamos, o servidor vulnerável A de tal forma, usando falsificação de origem de endereço IP, que o servidor A responda com uma mensagem de erro ao servidor vulnerável B, que envia uma mensagem de erro para A, que responde a B, que responde a A, repetidamente em um loop infinito.
Tudo o que você precisa fazer é enviar mensagens suficientes no servidor A para que a tempestade de pacotes UDP que se segue entre A e B consuma os recursos das máquinas e faça com que elas parem de responder a solicitações legítimas. Para todos os usuários normais, os servidores parecerão indisponíveis.
“Por exemplo, imagine dois serviços que respondem com uma mensagem de erro ao receber uma mensagem de erro como entrada”, como Rossow e Pan colocaram em seu artigo desta semana. “Se um erro como entrada criar um erro como saída, e um segundo sistema se comportar da mesma forma, esses dois sistemas continuarão enviando mensagens de erro indefinidamente.”
O método beneficia os malfeitores de várias maneiras: eles não precisam enviar ondas contínuas de tráfego para tornar os serviços indisponíveis e, uma vez iniciado, não há como interrompê-lo até que as máquinas visadas ou alguém intermediário possa interromper o loop infinito.
Esse tipo de loop na camada de aplicação tem sido um problema conhecido desde 1996, observou a dupla da CISPA.
“Tanto quanto sabemos, este tipo de ataque ainda não foi realizado no terreno. Seria, no entanto, fácil para os atacantes explorarem esta vulnerabilidade se nenhuma ação fosse tomada para mitigar o risco”, acrescentou Rossow, uma vez que “ a barreira para fazer isso não é tão alta.”
Os pesquisadores disseram que contataram os fabricantes de implementações de risco e uma “comunidade de operadores confiáveis” em dezembro para divulgar suas descobertas e, com sorte, conseguir que os patches sejam lançados e implantados. Juntos, eles trabalharam em planos para compartilhar detalhes do ataque esta semana e iniciar uma campanha de notificação em colaboração com a organização sem fins lucrativos Shadowserver Foundation.
Diz-se que equipamentos e software da Arris, Broadcom, Microsoft, Honeywell (CVE-2024-1309), Brother e MikroTik estão entre os vulneráveis ao Loop DoS. Além disso, considera-se que os produtos que deixaram de ser suportados pela Cisco, TP-Link e Zyxel estão em risco.
Alguns produtos da D-Link e da PLANET Technology também são considerados vulneráveis, mas nenhum dos fornecedores confirmou nada oficialmente. Procure atualizações nos serviços baseados em rede para corrigir esse problema. Também há código aqui para descobrir serviços potencialmente em risco em seu ambiente de TI. ®
.
