德国 CISPA 亥姆霍兹信息安全中心的研究人员披露了一种新的拒绝服务 (DoS) 攻击向量的详细信息,该攻击向量会影响多种广泛使用的基于 UDP 的应用程序协议和数十万个面向互联网的系统。
专家们演示了一种循环 DoS 攻击,攻击者使用 IP 欺骗让两台服务器通过它们都使用的协议无限期地相互通信。
“新发现的 DoS 循环攻击是自我延续的,并且针对应用层消息。它将两个网络服务配对,使它们能够无限期地响应彼此的消息。这样做会产生大量流量,导致相关系统或网络拒绝服务。”研究人员解释道。
“一旦注入触发器并启动循环,即使是攻击者也无法阻止攻击。以前已知的循环攻击发生在单个网络的路由层上,并且仅限于有限数量的循环迭代,”他们补充道。
除了允许攻击者导致目标服务变得不稳定或无法使用,或者通过针对网络骨干网造成网络中断之外,该技术还可用于 DoS 或 DDoS 攻击放大。
已确认受影响的协议列表包括 NTP、DNS 和 TFTP,以及 Echo、Chargen 和 QOTD 等旧协议。然而,专家认为其他几个人也可能受到影响。
研究人员估计,大约有 300,000 台互联网主机受到影响,其中包括近 90,000 台使用 NTP 的主机、63,000 台使用 DNS 的主机、56,000 台使用 Echo 的主机,以及大约 20,000 台使用 TFTP、Chargen 和 QOTD 的主机。就 NTP 而言,易受攻击的系统可能是使用2010 年之前发布的ntpd版本的系统,已知这些系统受到跟踪为 CVE-2009-3563 的 DoS 漏洞的影响。
目前没有证据表明这种攻击方法已在野外用于恶意目的,但研究人员警告说,利用这种攻击方法很容易,并敦促受影响的实体采取行动。
新的 CVE 标识符 CVE-2024-1309 和 CVE-2024-2169 已分配给新循环 DoS 攻击中涉及的漏洞。
根据卡内基梅隆大学 CERT 协调中心的一份报告,CVE-2024-2169 已被确认影响 Broadcom、Honeywell、Microsoft 和 MikroTik 的产品。潜在受影响的供应商已于 2023 年 12 月收到通知。
博通表示,只有一些较旧的路由器受到影响,并已针对这些路由器发布了补丁。微软表示,针对其产品的攻击不会导致主机崩溃,但该公司未来将考虑修复Windows中的问题。MikroTik 很快就会发布补丁。
此外,思科确认了 CVE-2009-3563 的影响,并于 2009 年解决了该问题。Zyxel 确认一些停产产品受到影响,但它们不会收到补丁。
在研究人员发布的 一份咨询报告中,他们推荐了几种预防和反应措施。
“一次性修复所有这些服务器似乎不切实际。更糟糕的是,虽然我们知道一些受影响的产品和软件,但我们还无法归因于我们发现的大量(约 80%)易受滥用的系统,”他们说。
至于反应措施,他们建议防御者在发生攻击时中断 DoS 循环。
“攻击流量中任何类型的数据包丢失都会终止循环,并迫使攻击者重新初始化循环。因此,丢包有效地将应用层循环攻击降级为放大攻击。”他们解释道。
发表评论
您还未登录,请先登录。
登录