Clicky

El nuevo ataque 'Loop DoS' afecta a cientos de miles de sistemas

ataque Loop DoS

Crea un bucle de ataque que se perpetúa a sí mismo y ni siquiera los atacantes pueden detener el ataque

Se ha descubierto que un novedoso vector de ataque de denegación de servicio (DoS) se dirige a protocolos de capa de aplicación basados en el Protocolo de datagramas de usuario (UDP), poniendo en riesgo a cientos de miles de hosts.

Llamados ataques Loop DoS, el enfoque empareja "servidores de estos protocolos de tal manera que se comunican entre sí indefinidamente", dijeron investigadores del Centro CISPA Helmholtz para la Seguridad de la Información.

UDP, por diseño, es un protocolo sin conexión que no valida las direcciones IP de origen, lo que lo hace susceptible a la suplantación de IP.

Por lo tanto, cuando los atacantes falsifican varios paquetes UDP para incluir la dirección IP de la víctima, el servidor de destino responde a la víctima (a diferencia del actor de la amenaza), creando un ataque de denegación de servicio (DoS) reflejado.

El último estudio encontró que ciertas implementaciones del protocolo UDP, como DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD y Time, pueden usarse como armas para crear un bucle de ataque que se perpetúa a sí mismo.

"Empareja dos servicios de red de tal manera que siguen respondiendo indefinidamente a los mensajes del otro", dijeron los investigadores. "Al hacerlo, crean grandes volúmenes de tráfico que resultan en una denegación de servicio para los sistemas o redes involucrados. Una vez que se inyecta un gatillo y el bucle se pone en movimiento, ni siquiera los atacantes pueden detener el ataque".

En pocas palabras, dados dos servidores de aplicaciones que ejecutan una versión vulnerable del protocolo, un actor de amenazas puede iniciar la comunicación con el primer servidor falsificando la dirección del segundo servidor, lo que hace que el primer servidor responda a la víctima (es decir, el segundo servidor) con un mensaje de error.

La víctima, a su vez, también mostrará un comportamiento similar, enviando otro mensaje de error al primer servidor, agotando efectivamente los recursos de cada uno y haciendo que cualquiera de los servicios no responda.

"Si un error como entrada crea un error como salida, y un segundo sistema se comporta igual, estos dos sistemas seguirán enviando mensajes de error de un lado a otro indefinidamente", explicaron Yepeng Pan y Christian Rossow.

CISPA dijo que se estima que se puede abusar de 300.000 hosts y sus redes para llevar a cabo ataques Loop DoS.

Si bien actualmente no hay evidencia de que el ataque haya sido utilizado como arma en la naturaleza, los investigadores advirtieron que la explotación es trivial y que se ven afectados múltiples productos de Broadcom, Cisco, Honeywell, Microsoft, MikroTik y Zyxel.

"Los atacantes necesitan un único host con capacidad de suplantación de identidad para activar los bucles", señalaron los investigadores. "Como tal, es importante mantener iniciativas para filtrar el tráfico falsificado, como BCP38".

Jesus_Caceres