Se cree que hasta 300.000 servidores o dispositivos en la Internet pública son vulnerables en este momento a la técnica de denegación de servicio de bucle recientemente revelada que funciona contra algunos servicios de nivel de aplicación basados ​​en UDP. Se dice que ciertas implementaciones de TFTP, DNS y NTP, así como protocolos heredados, como Echo, Chargen y QOTD, están en riesgo. La explotación puede provocar la caída de servicios, si no de máquinas o redes enteras. A juzgar por los análisis de DNS, NTP y TFTP, el mayor número de sistemas potencialmente vulnerables de cara al público se encuentran en China, Rusia y Estados Unidos, seguidos por Irán, Corea del Sur, Italia, Francia, Canadá y Brasil. El método de ataque fue revelado a principios de esta semana por los investigadores Christian Rossow y Yepeng (Eric) Pan del Centro CISPA Helmholtz para la Seguridad de la Información en Alemania. Es bastante trivial y básicamente se basa en enviar un mensaje de error a, digamos, el servidor vulnerable A de tal manera, utilizando la suplantación de la fuente de la dirección IP, que el servidor A responde con un mensaje de error al servidor vulnerable B, que envía un mensaje de error a A, que responde a B, que responde a A, una y otra vez en un bucle infinito. Todo lo que tiene que hacer es enviar suficientes mensajes al servidor A para que la consiguiente tormenta de paquetes UDP entre A y B consuma los recursos de las máquinas y haga que dejen de responder a solicitudes legítimas. Para todos los usuarios normales, los servidores parecerán no estar disponibles. «Por ejemplo, imagine dos servicios que responden con un mensaje de error cuando reciben un mensaje de error como entrada», como lo expresaron Rossow y Pan en su artículo de esta semana. «Si un error como entrada crea un error como salida, y un segundo sistema se comporta igual, estos dos sistemas seguirán enviando mensajes de error de un lado a otro indefinidamente». El método beneficia a los malhechores de varias maneras: no necesitan enviar ondas continuas de tráfico para que los servicios no estén disponibles, y una vez que comienza no hay forma de detenerlo hasta que las máquinas objetivo o alguien en el medio pueda romper el bucle infinito. Este tipo de bucle en la capa de aplicación ha sido un problema conocido desde 1996, señaló el dúo CISPA. «Hasta donde sabemos, este tipo de ataque aún no se ha llevado a cabo sobre el terreno. Sin embargo, sería fácil para los atacantes aprovechar esta vulnerabilidad si no se toman medidas para mitigar el riesgo», añadió Rossow, ya que » el listón para hacerlo no es tan alto». Los investigadores dijeron que se comunicaron con los creadores de implementaciones en riesgo y con una «comunidad de operadores confiables» en diciembre para revelar sus hallazgos y, con suerte, implementar e implementar parches. En total, trabajaron en planes para compartir detalles del ataque esta semana y comenzar una campaña de notificación en colaboración con la organización sin fines de lucro Shadowserver Foundation. Se dice que los equipos y software de Arris, Broadcom, Microsoft, Honeywell (CVE-2024-1309), Brother y MikroTik se encuentran entre los vulnerables a Loop DoS. Además, se entiende que los productos que han dejado de recibir soporte de Cisco, TP-Link y Zyxel están en riesgo. También se cree que algunos productos de D-Link y PLANET Technology son vulnerables, pero ninguno de los proveedores ha confirmado nada oficialmente. Esté atento a las actualizaciones de los servicios basados ​​en red para solucionar este problema. También hay código aquí para descubrir servicios potencialmente en riesgo en su entorno de TI. ®

Source link