Am 19. März 2024 stellte ein Forschungsteam unter der Leitung von Prof. Dr. Christian Rossow am CISPA Helmholtz-Zentrum für Informationssicherheit in Deutschland eine erhebliche Sicherheitsbedrohung. Diese Bedrohung nutzte eine weit verbreitete Schwachstelle in Diensten auf Anwendungsebene aus, die das User Datagram Protocol (UDP) verwenden. Verfolgt durch die Kennung CVE-2024-2169Diese Sicherheitslücke stellte ein ernstes Risiko für die Stabilität und Sicherheit zahlreicher Systeme dar.
Details zum Loop-DoS-Angriff
Der von den Forschern beschriebene Angriffsvektor umfasste die Manipulation von UDP-Datagrammen zur Erzeugung einer Endlosschleife zwischen anfälligen Servern. Durch die Erstellung einer bestimmten Nutzlast konnten Angreifer eine Fehlerantwort eines anfälligen Servers provozieren, die ihn dazu veranlasste, ein Fehlerdatagramm an einen anderen anfälligen Server zu senden. Dieser Austausch würde auf unbestimmte Zeit fortgesetzt und die beteiligten Systeme überlastet. Wichtig ist, dass die Art der UDP-Kommunikation es ermöglichte, dass diese Schleife bestehen blieb, unbeeinflusst vom Hop-Count-Limiter (TTL) der IP-Time-to-Live-Funktion.
Um diesen Angriff auszuführen, musste der Angreifer mindestens ein weiteres anfälliges System identifizieren, auf dem derselbe Dienst wie auf dem Ziel ausgeführt wurde. Indem er die Quell-IP der ursprünglichen Anfrage fälschte, konnte der Angreifer das Opfer dazu bringen, auf einen anderen anfälligen Server zu antworten und so die Schleife zu initiieren. Dieser Prozess könnte durch die Erstellung mehrerer Schleifen zwischen verschiedenen anfälligen Systemen verstärkt werden, was möglicherweise zu einem Kaskadeneffekt führen kann, der das Ziel überlasten kann.
Die betroffenen Dienste umfassten eine breite Palette weit verbreiteter Protokolle, darunter DNS, TFTP, NTP, Echo, Aufladen und QOTD. Die Sicherheitslücke in NTP betraf vor allem Systeme, die veraltete Versionen von ntpd aus der Zeit vor 2010 verwendeten. Darüber hinaus erwiesen sich ältere Protokolle wie Echo, Chargen, QOTD, Time, Daytime und Active Users als anfällig. Während TFTP und DNS noch untersucht wurden, betonten die Forscher, dass weitere Informationen von Betreibern anfälliger Systeme erforderlich seien, um das Ausmaß ihrer Schwachstellen vollständig zu verstehen.
Die Auswirkungen dieser Sicherheitslücke waren besorgniserregend, da Zustandslose Natur von UDP, wodurch legitime Dienste anfällig für Missbrauch wurden für DDoS-Angriffe mit volumetrischer Verstärkung. Durch die Hinzufügung von Loop-DoS-Angriffen stieg das Potenzial für Störungen und Schäden erheblich. Die Forscher schätzten, dass ungefähr 300,000 Internet-Hosts waren anfällig um DoS-Angriffe zu loopen.
Loop-DoS-anfällige Systeme
Um das Risiko dieser Sicherheitslücke zu minimieren, wurde es unerlässlich, anfällige Systeme zu erkennen. Die Forscher am CISPA entwickelte ein Tool zum Scannen nach Systemen suchen und diese identifizieren, die für die entdeckten Angriffs-Payloads anfällig sind. Dieses Tool bot eine Möglichkeit, die Schwachstelle zu bewerten und zu beheben, insbesondere für Dienste wie DNS, TFTP und NTP, für die Angriffs-Payloads im simple_verify.py Python-Skript.
Loop-DoS-Schutz
Zu den Empfehlungen gehören die Minimierung der Gefährdung UDP-basierter Dienste, die Gewährleistung zeitnaher Sicherheitspatches und die Implementierung robuster Schutzmaßnahmen gegen Missbrauch und anomale Aktivitäten.
Umsetzung DDoS Schutz Lösungen, wie z RELIANOID IPDS sind erforderlich, um die Sicherheit unserer Dienste aufrechtzuerhalten:
Hybride DDoS-Abwehr: Kombinieren Sie lokalen und Cloud-basierten Schutz, um sich in Echtzeit gegen DDoS-Angriffe zu verteidigen. Diese Strategie schützt sowohl vor groß angelegten Angriffen als auch vor einer Netzwerksättigung.
Erkennung von Verhaltensanomalien: Setzen Sie erweiterte Erkennungssysteme ein, um ungewöhnliches Netzwerkverhalten schnell zu identifizieren und zu blockieren, während der legitime Datenverkehr ohne Unterbrechung fließen kann.
Schnelle Signaturgenerierung: Generieren Sie Sicherheitssignaturen in Echtzeit, um sich umgehend gegen unbekannte Bedrohungen und Zero-Day-Angriffe zu verteidigen und so die allgemeine Netzwerksicherheit zu verbessern.
Notfallplanung für die Cybersicherheit: Stellen Sie ein spezialisiertes Team zusammen, das für die Bewältigung von Cybersicherheitsnotfällen gerüstet ist, insbesondere im Zusammenhang mit Sicherheitsverletzungen im Bereich des Internet der Dinge (IoT).
Informationen zu Bedrohungsakteuren: Nutzen Sie umfassende Datenanalysen, um Bedrohungen durch bekannte Angreifer proaktiv zu identifizieren und einzudämmen und so die Widerstandsfähigkeit des Netzwerks gegenüber sich entwickelnden Cybersicherheitsrisiken zu stärken.
RELIANOID ADC gegen Loop-DoS-Angriffe
RELIANOID ADC bietet robuste Lösungen, die Systeme vor Loop-DoS-Angriffen (Denial of Service) schützen und deren Angriffsrisiken minimieren können. Eine primäre Methode ist die Verkehrsinspektion und intelligente Filterfunktionen. RELIANOID Load Balancer und Application Delivery Controller (ADC) kann eingehende Verkehrsmuster analysieren und Anomalien erkennen, die auf einen Loop-DoS-Angriff hinweisen. Indem diese Systeme bösartigen Datenverkehr identifizieren und blockieren, verhindern sie die Aufrechterhaltung der Schleife zwischen anfälligen Servern.
Zusätzlich RELIANOID ADCs enthalten häufig Funktionen wie Ratenbegrenzung und Verbindungsdrosselung. Diese Funktionen können dazu beitragen, die Verstärkung von Loop-DoS-Angriffen zu verhindern, indem sie die Geschwindigkeit begrenzen, mit der Anfragen verarbeitet oder Verbindungen hergestellt werden. Durch die Begrenzung des Verkehrsaufkommens oder der Häufigkeit von Anfragen aus einzelnen Quellen können Sie verhindern, dass sich Loop-DoS-Angriffe verstärken. RELIANOID LB-Lösungen können die Auswirkungen von Loop-DoS-Angriffen abmildern und die Stabilität und Verfügbarkeit von Systemen sicherstellen.
Außerdem sind RELIANOID Produkte unterstützen in der Regel granulare Zugriffskontroll- und Authentifizierungsmechanismen. Durch die Durchsetzung strenger Zugriffsrichtlinien und die Überprüfung der Legitimität eingehender Anfragen können diese Lösungen unbefugten Datenverkehr, der versucht, Schwachstellen auszunutzen und Loop-DoS-Angriffe zu initiieren, effektiv blockieren. Darüber hinaus bieten erweiterte Protokollierungs- und Berichtsfunktionen von RELIANOID Plattformen ermöglichen Administratoren eine genaue Überwachung der Netzwerkaktivität und erleichtern so die frühzeitige Erkennung und Reaktion auf potenzielle Bedrohungen, einschließlich Loop-DoS-Angriffen.
Insgesamt RELIANOID Mit der umfassenden Suite von Lastausgleichs- und Anwendungsbereitstellungslösungen von ADC können Unternehmen ihre Cybersicherheitslage verbessern und sich durch intelligente Verkehrsanalyse, Ratenbegrenzung, Zugriffskontrolle und robuste Protokollierungsfunktionen gegen Loop-DoS-Angriffe verteidigen. Kontakt zu unseren Sicherheitsexperten.
Verwandte Blogs
