Siber Muhbir

CISPA Helmholtz-Bilgi Güvenliği Merkezi'nden araştırmacılar, Loop DoS saldırıları olarak adlandırılan yaklaşımın "bu protokollerin sunucularını birbirleriyle süresiz olarak iletişim kuracak şekilde" eşleştirdiğini söyledi.

UDP, tasarımı gereği, kaynak IP adreslerini doğrulamayan bağlantısız bir protokoldür ve bu da onu IP sahtekarlığına açık hale getirir.

Bu nedenle, saldırganlar kurbanın IP adresini içerecek şekilde birkaç UDP paketi oluşturduğunda, hedef sunucu kurbana (tehdit aktörünün aksine) yanıt vererek yansıyan bir hizmet reddi (DoS) saldırısı oluşturur.

En son çalışma, DNS, NTP, TFTP, Aktif Kullanıcılar, Daytime, Echo, Chargen, QOTD ve Time gibi UDP protokolünün belirli uygulamalarının, kendi kendini sürdüren bir saldırı döngüsü oluşturmak için silahlandırılabileceğini buldu.

Araştırmacılar, "İki ağ hizmetini, birbirlerinin mesajlarına süresiz olarak yanıt vermeye devam edecek şekilde eşleştiriyor" dedi. "Bunu yaparken, ilgili sistemler veya ağlar için hizmet reddi ile sonuçlanan büyük hacimli trafik yaratırlar. Bir tetikleyici enjekte edildiğinde ve döngü harekete geçtiğinde, saldırganlar bile saldırıyı durduramaz."

Basitçe söylemek gerekirse, protokolün savunmasız bir sürümünü çalıştıran iki uygulama sunucusu göz önüne alındığında, bir tehdit aktörü, ikinci sunucunun adresini taklit ederek ilk sunucuyla iletişim başlatabilir ve ilk sunucunun kurbana (yani ikinci sunucuya) bir hata mesajıyla yanıt vermesine neden olabilir.

Kurban da benzer davranışlar sergileyecek, ilk sunucuya başka bir hata mesajı gönderecek, birbirlerinin kaynaklarını etkili bir şekilde tüketecek ve hizmetlerden herhangi birini yanıt vermemeye bırakacaktır.

Yepeng Pan ve Christian Rossow, "Girdi olarak bir hata çıktı olarak bir hata yaratırsa ve ikinci bir sistem aynı şekilde davranırsa, bu iki sistem süresiz olarak ileri geri hata mesajları göndermeye devam edecektir" dedi.

CISPA, tahminen 300.000 ana bilgisayarın ve ağlarının Loop DoS saldırılarını gerçekleştirmek için kötüye kullanılabileceğini söyledi.

Şu anda saldırının vahşi doğada silahlandırıldığına dair bir kanıt bulunmamakla birlikte, araştırmacılar istismarın önemsiz olduğu ve Broadcom, Cisco, Honeywell, Microsoft, MikroTik ve Zyxel'in birden fazla ürününün etkilendiği konusunda uyardılar.

Araştırmacılar, "Saldırganlar, döngüleri tetiklemek için tek bir sahtekarlık yeteneğine sahip ana bilgisayara ihtiyaç duyuyor" dedi. "Bu nedenle, BCP38 gibi sahte trafiği filtrelemek için girişimleri sürdürmek önemlidir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.