Neuer ‚Loop DoS‘-Angriff beeinträchtigt hunderttausende Systeme
Ein neuer Angriffsvektor für Denial-of-Service (DoS) zielt auf Anwendungsprotokolle ab, die das User Datagram Protocol (UDP) verwenden. Das könnte Hunderttausende von Hosts gefährden.
Die Forscher des CISPA Helmholtz-Zentrums für Informationssicherheit bezeichnen diese Art von Angriffen als Loop-DoS-Angriffe. Dabei werden UDP-Server so gepaart, dass sie auf unbestimmte Zeit miteinander kommunizieren.
Bei UDP handelt es sich um ein verbindungsloses Protokoll, bei dem die IP-Quelladressen nicht überprüft werden. Das macht es anfällig für IP-Spoofing.
Wenn Angreifer also mehrere UDP-Pakete fälschen, um eine Opfer-IP-Adresse einzuschließen, antwortet der Zielserver dem Opfer (und nicht dem Bedrohungsakteur), wodurch ein reflektierter Denial-of-Service-Angriff (DoS) entsteht.
Eine aktuelle Studie ergab, dass bestimmte Implementierungen des UDP-Protokolls, wie DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD und Time, als Waffe eingesetzt werden können, um eine sich selbst wiederholende Angriffsschleife zu schaffen.
Die Forscher erklären, dass der Angreifer zwei Netzwerkdienste so miteinander verbindet, dass sie endlos auf die Nachrichten des anderen antworten. Dadurch entsteht ein großer Datenverkehr, der die betroffenen Systeme oder Netzwerke lahmlegen kann. Sobald der Angriff gestartet ist, können selbst die Angreifer ihn nicht mehr stoppen.
Anders ausgedrückt: Wenn ein Angreifer zwei Anwendungsserver angreift, von denen einer eine verwundbare Version des Protokolls ausführt, kann er eine Nachricht an den ersten Server senden und dabei die Adresse des zweiten Servers fälschen. Der erste Server antwortet dann fälschlicherweise dem zweiten Server (dem Opfer) mit einer Fehlermeldung.
Das Opfer wiederum verhält sich ähnlich und sendet eine weitere Fehlermeldung an den ersten Server zurück, wodurch die Ressourcen des jeweils anderen erschöpft werden und beide Dienste nicht mehr reagieren.
„Wenn ein Fehler als Eingabe einen Fehler als Ausgabe erzeugt und ein zweites System sich genauso verhält, werden diese beiden Systeme unendlich viele Fehlermeldungen hin- und herschicken“, erklären die CISPA-Forscher. Sie schätzen, dass etwa 300.000 Hosts und ihre Netzwerke für Loop-DoS-Angriffe missbraucht werden könnten.
Obwohl es bisher keine Beweise dafür gibt, dass der Angriff tatsächlich schon stattgefunden hat, warnen die Forscher davor, dass die Ausnutzung einfach ist und dass verschiedene Produkte populärer Hersteller wie Broadcom, Cisco, Honeywell, Microsoft, MikroTik und Zyxel betroffen sind.
„Um Schleifen auszulösen, benötigen Angreifer nur einen einzigen Host mit Spoofing-Fähigkeiten“, so die Forscher. „Deshalb ist es wichtig, Initiativen zur Filterung gefälschten Datenverkehrs, wie BCP38, unbedingt aufrechtzuerhalten.“