Le 19 mars 2024, une équipe de recherche dirigée par le professeur Christian Rossow du Centre CISPA Helmholtz pour la sécurité de l'information en Allemagne a dévoilé un menace importante pour la sécurité. Cette menace exploitait une vulnérabilité répandue trouvée dans les services de couche application qui utilisent le protocole UDP (User Datagram Protocol). Suivi via l'identifiant CVE-2024-2169, cette vulnérabilité représentait un risque sérieux pour la stabilité et la sécurité de nombreux systèmes.

Détails de l'attaque DoS en boucle

Le vecteur d'attaque, tel que détaillé par les chercheurs, impliquait le manipulation de datagrammes UDP pour créer une boucle perpétuelle entre serveurs vulnérables. En créant une charge utile spécifique, les attaquants pourraient provoquer une réponse d'erreur d'un serveur vulnérable, l'incitant à envoyer un datagramme d'échec à un autre serveur vulnérable. Cet échange se poursuivrait indéfiniment, submergeant les systèmes impliqués. Il est important de noter que la nature de la communication UDP a permis à cette boucle de persister, sans être affectée par le limiteur de nombre de sauts IP Time-to-Live (TTL).

Pour exécuter cette attaque, l'agresseur devait identifier au moins un système vulnérable supplémentaire exécutant le même service que la cible. En usurpant l'adresse IP source de la requête initiale, l'attaquant pourrait tromper la victime en lui faisant répondre à un autre serveur vulnérable, initiant ainsi la boucle. Ce processus pourrait être amplifié par la création de multiples boucles entre différents systèmes vulnérables, conduisant potentiellement à un effet de cascade capable de surcharger la cible.

Les services concernés englobaient un large éventail de protocoles largement déployés, notamment DNS, TFTP, NTP, Écho, Chargé et QOTD. La vulnérabilité de NTP affectait principalement les systèmes utilisant des versions obsolètes de ntpd antérieures à 2010. De plus, les protocoles existants tels que Echo, Chargen, QOTD, Time, Daytime et Active Users se sont révélés intrinsèquement vulnérables. Alors que TFTP et DNS étaient encore à l'étude, les chercheurs ont souligné la nécessité d'une contribution supplémentaire de la part des opérateurs de systèmes vulnérables pour bien comprendre l'étendue de leurs vulnérabilités.

Les implications de cette vulnérabilité étaient préoccupantes en raison de la nature apatride de l'UDP, qui rendait les services légitimes susceptibles d'être abusés attaques DDoS par amplification volumétrique. Avec l’ajout des attaques DoS en boucle, le potentiel de perturbation et de dommages a considérablement augmenté. Les chercheurs ont estimé qu'environ 300,000 XNUMX hébergeurs Internet étaient vulnérables pour boucler les attaques DoS.

Systèmes vulnérables au DoS en boucle

La détection des systèmes vulnérables est devenue impérative pour atténuer le risque posé par cette vulnérabilité. Les chercheurs du CISPA développé un outil pour scanner et identifier les systèmes sensibles aux charges utiles d'attaque qu'ils avaient découvertes. Cet outil a fourni un moyen d'évaluer et de traiter la vulnérabilité, en particulier pour les services tels que DNS, TFTP et NTP, pour lesquels les charges utiles d'attaque ont été définies dans le simple_verify.py Script Python.

Protection contre les DoS en boucle

Les recommandations incluent la minimisation de l'exposition des services basés sur UDP, la garantie de correctifs de sécurité en temps opportun et la mise en œuvre de mesures de protection robustes contre les abus et les activités anormales.

Exécution Protection DDoS solutions, telles que RELIANOID IPDS, sont nécessaires pour maintenir la sécurité de nos services :

 Défense DDoS hybride: combinez une protection sur site et basée sur le cloud pour vous défendre contre les attaques DDoS en temps réel. Cette stratégie répond à la fois aux agressions à grande échelle et évite la saturation du réseau.
 Détection des anomalies comportementales: Utilisez des systèmes de détection avancés pour identifier et bloquer rapidement les comportements réseau inhabituels tout en permettant au trafic légitime de circuler sans interruption.
 Génération rapide de signatures: Générez des signatures de sécurité en temps réel pour vous défendre rapidement contre les menaces inconnues et les attaques Zero Day, améliorant ainsi la sécurité globale du réseau.
 Planification des interventions d'urgence en matière de cybersécurité: Mettre en place une équipe spécialisée équipée pour gérer les urgences en matière de cybersécurité, notamment celles liées aux failles de sécurité de l'Internet des objets (IoT).
 Intelligence des acteurs menaçants: Utilisez une analyse complète des données pour identifier et atténuer de manière proactive les menaces posées par les attaquants connus, renforçant ainsi la résilience du réseau face à l'évolution des risques de cybersécurité.