新的循环 DoS 攻击方法将影响数十万互联网系统

         德国 CISPA 亥姆霍兹信息安全中心的研究人员披露了一种新的拒绝服务 (DoS) 攻击向量的详细信息，该攻击向量会影响多种广泛使用的基于 UDP 的应用程序协议和数十万个面向互联网的系统。

 专家们演示了一种循环 DoS 攻击，攻击者使用 IP 欺骗让两台服务器通过它们都使用的协议无限期地相互通信。

 “新发现的 DoS 循环攻击是自我延续的，并且针对应用层消息。它将两个网络服务配对，使它们能够无限期地响应彼此的消息。这样做会产生大量流量，导致相关系统或网络拒绝服务。”研究人员解释道。

 “一旦注入触发器并启动循环，即使是攻击者也无法阻止攻击。以前已知的循环攻击发生在单个网络的路由层上，并且仅限于有限数量的循环迭代，”他们补充道。

 除了允许攻击者导致目标服务变得不稳定或无法使用，或者通过针对网络骨干网造成网络中断之外，该技术还可用于 DoS 或 DDoS 攻击放大。

 已确认受影响的协议列表包括 NTP、DNS 和 TFTP，以及 Echo、Chargen 和 QOTD 等旧协议。然而，专家认为其他几个人也可能受到影响。

 研究人员估计，大约有 300,000 台互联网主机受到影响，其中包括近 90,000 台使用 NTP 的主机、63,000 台使用 DNS 的主机、56,000 台使用 Echo 的主机，以及大约 20,000 台使用 TFTP、Chargen 和 QOTD 的主机。就 NTP 而言，易受攻击的系统可能是使用2010 年之前发布的ntpd版本的系统，已知这些系统受到跟踪为 CVE-2009-3563 的 DoS 漏洞的影响。

 目前没有证据表明这种攻击方法已在野外用于恶意目的，但研究人员警告说，利用这种攻击方法很容易，并敦促受影响的实体采取行动。

 新的 CVE 标识符 CVE-2024-1309 和 CVE-2024-2169 已分配给新循环 DoS 攻击中涉及的漏洞。

 根据卡内基梅隆大学 CERT 协调中心的一份报告，CVE-2024-2169 已被确认影响 Broadcom、Honeywell、Microsoft 和 MikroTik 的产品。潜在受影响的供应商已于 2023 年 12 月收到通知。

 博通表示，只有一些较旧的路由器受到影响，并已针对这些路由器发布了补丁。微软表示，针对其产品的攻击不会导致主机崩溃，但该公司未来将考虑修复Windows中的问题。MikroTik 很快就会发布补丁。

 此外，思科确认了 CVE-2009-3563 的影响，并于 2009 年解决了该问题。Zyxel 确认一些停产产品受到影响，但它们不会收到补丁。

 在研究人员发布的  一份咨询报告中，他们推荐了几种预防和反应措施。

 “一次性修复所有这些服务器似乎不切实际。更糟糕的是，虽然我们知道一些受影响的产品和软件，但我们还无法归因于我们发现的大量（约 80%）易受滥用的系统，”他们说。

 至于反应措施，他们建议防御者在发生攻击时中断 DoS 循环。

 “攻击流量中任何类型的数据包丢失都会终止循环，并迫使攻击者重新初始化循环。因此，丢包有效地将应用层循环攻击降级为放大攻击。”他们解释道。

 

转载自安全客