Петля затягивается: чем опасна новая уязвимость для проведения DDoS-атак
Эксперты немецкого НИИ в области информбезопасности (ИБ) CISPA обнаружили новый вид атаки типа «отказ в обслуживании» (DDoS), который представляет угрозу для 300 000 систем по всему миру, включая Россию. Атака, получившая название Loop DoS, заключается в создании бесконечной петли запросов между двумя приложениями, подверженными уязвимости в одном из ключевых протоколов для интернета UDP (User Datagram Protocol). Несмотря на то, что принцип, по которому устроена эта уязвимость, злоумышленники эксплуатировали еще в 1990-х, эксперты называют ситуацию серьезной. Если раньше использование такой уязвимости считалось достаточно маргинальным, проходившим только в старых и уже редко встречающихся протоколах, то сейчас пространство риска заметно расширяется, говорят аналитики.
Держаться замкнуто
Новый тип DDoS-атак нацелен на протоколы прикладного уровня и затрагивает как устаревшие протоколы (например, QOTD, Chargen, Echo), так и современные (DNS, NTP и TFTP), подвергая риску около 300 000 интернет-хостов и их сети по всему миру, следует из сообщения CISPA. Хост — компьютер или другое устройство, подключенное к сети; может работать как сервер, предлагающий информационные ресурсы, услуги и приложения пользователям или другим хостам в сети.
«Циклическая атака объединяет две сетевые службы таким образом, что они продолжают отвечать на сообщения друг друга бесконечно. При этом они генерируют огромные объемы трафика, что приводит к отказу в обслуживании задействованных систем или сетей. Как только вводится триггер и цикл запускается, даже злоумышленники не в состоянии остановить атаку», — пишут эксперты CISPA Йепенг Пан и Кристиан Россоу. Ранее известные циклические атаки происходили на уровне маршрутизации одной сети и были ограничены конечным числом итераций, добавляют они.
Подверженные риску протоколы широко используются для обеспечения базовых функций в интернете. NTP, например, позволяет синхронизировать время между компьютерами, DNS сопоставляет доменные имена с соответствующими IP-адресами, а TFTP позволяет передавать файлы без аутентификации пользователя. «Насколько нам известно, такого рода атаки еще не проводились в полевых условиях, — говорит Россоу. — Злоумышленникам было бы легко воспользоваться этой уязвимостью, если бы не было предпринято никаких действий для снижения риска».
Хорошо забытое старое
В целом идея, которой могут воспользоваться злоумышленники, не нова, обращают внимание эксперты. Она основана на том, что при работе протокола UDP не проверяется подлинность источника запроса. Поэтому, используя возможности спуфинга (подмены IP-адреса источника запроса), можно направить трафик к другому адресату. «Это достаточно очевидная вещь, которую обычно изучают на первых курсах программ по ИБ в университетах», — обращает внимание руководитель направления защиты на уровне веб-приложений DDoS-Guard Дмитрий Никонов.