Cuộc tấn công 'Loop DoS' mới có thể ảnh hưởng tới 300.000 hệ thống trực tuyến

Được các nhà nghiên cứu tại Trung tâm bảo mật thông tin CISPA Helmholtz phát minh, cuộc tấn công sử dụng Giao thức gói dữ liệu người dùng (UDP) và tác động đến khoảng 300.000 máy chủ và mạng của họ.

Cuộc tấn công có thể xảy ra do một lỗ hổng bảo mật, hiện được theo dõi là CVE-2024-2169, trong quá trình triển khai giao thức UDP, dễ bị giả mạo IP và không cung cấp đủ khả năng xác minh gói.

Kẻ tấn công khai thác lỗ hổng này sẽ tạo ra một cơ chế tự tồn tại, tạo ra lưu lượng truy cập quá mức không giới hạn và không có cách nào để ngăn chặn, dẫn đến tình trạng từ chối dịch vụ (DoS) trên hệ thống mục tiêu hoặc thậm chí toàn bộ mạng.

Loop DoS dựa vào việc giả mạo IP và có thể được kích hoạt từ một máy chủ duy nhất gửi một tin nhắn để bắt đầu liên lạc.

Theo Trung tâm Điều phối CERT Carnegie Mellon (CERT/CC), có ba kết quả có thể xảy ra khi kẻ tấn công lợi dụng lỗ hổng này:

• Quá tải một dịch vụ dễ bị tấn công và khiến nó trở nên không ổn định hoặc không thể sử dụng được.
• Tấn công DoS vào đường trục mạng, gây ra tình trạng ngừng hoạt động của mạng đối với các dịch vụ khác.
• Các cuộc tấn công khuếch đại liên quan đến các vòng lặp mạng gây ra các cuộc tấn công DOS hoặc DDOS được khuếch đại.

Các nhà nghiên cứu của CISPA Yepeng Pan và Giáo sư Tiến sĩ Christian Rossow cho biết tác động tiềm tàng là đáng chú ý, bao gồm cả các giao thức lỗi thời (QOTD, Chargen, Echo) và các giao thức hiện đại (DNS, NTP, TFTP) rất quan trọng đối với các chức năng cơ bản dựa trên internet như đồng bộ hóa thời gian, phân giải tên miền và truyền tệp mà không cần xác thực.

CERT/CC giải thích: “Nếu hai máy chủ ứng dụng triển khai giao thức nói trên dễ bị tấn công, kẻ tấn công có thể bắt đầu liên lạc với máy chủ đầu tiên, giả mạo địa chỉ mạng của máy chủ thứ hai (nạn nhân).

"Trong nhiều trường hợp, máy chủ đầu tiên sẽ phản hồi bằng một thông báo lỗi cho nạn nhân, điều này cũng sẽ gây ra hành vi tương tự của một thông báo lỗi khác gửi lại máy chủ đầu tiên" - Trung tâm Điều phối CERT cho biết.

Quá trình này tiếp tục cho đến khi tất cả tài nguyên sẵn có cạn kiệt hoàn toàn, khiến máy chủ không phản hồi các yêu cầu hợp pháp.

Tổng cộng, ước tính có 300.000 máy chủ Internet dễ bị tấn công Loop DoS.

Các nhà nghiên cứu cảnh báo rằng cuộc tấn công rất dễ bị khai thác, lưu ý rằng không có bằng chứng nào cho thấy việc khai thác đang diễn ra vào thời điểm này.

Rossow và Pan đã chia sẻ những phát hiện của họ với các nhà cung cấp bị ảnh hưởng và thông báo cho CERT/CC để phối hợp công bố.

Cho đến nay, các nhà cung cấp xác nhận việc triển khai của họ bị ảnh hưởng bởi CVE-2024-2169 là Broadcom, Cisco, Honeywell, Microsoft và MikroTik.

Để tránh nguy cơ bị từ chối dịch vụ thông qua Loop DoS, CERT/CC khuyên người dùng nên cài đặt các bản vá mới nhất từ các nhà cung cấp để giải quyết lỗ hổng bảo mật và thay thế các sản phẩm không còn nhận được bản cập nhật bảo mật.

Sử dụng các quy tắc tường lửa và danh sách kiểm soát truy cập cho các ứng dụng UDP, tắt các dịch vụ UDP không cần thiết và triển khai TCP hoặc xác thực yêu cầu cũng là những biện pháp có thể giảm thiểu rủi ro bị tấn công.

Hơn nữa, tổ chức này khuyến nghị triển khai các giải pháp chống giả mạo như BCP38 và Chuyển tiếp đường dẫn ngược Unicast (uRPF) và sử dụng các biện pháp Chất lượng dịch vụ (QoS) để hạn chế lưu lượng truy cập mạng và bảo vệ chống lạm dụng từ các vòng lặp mạng và khuếch đại DoS.

Nguồn: bleepingcomputer.com