Anche se questi server sono dotati dei noti dispositivi firewall, possono comunque essere rimossi se un utente malintenzionato sfrutta questa tecnica.
Può sembrare incredibile, ma invece di una gigantesca botnet, basta un laptop con una connessione Internet per lanciare un potente attacco DDoS , distruggendo importanti server Internet e firewall esistenti.
I ricercatori del TDC Security Operations Center hanno scoperto una nuova tecnica di attacco che consente ad aggressori solitari con risorse limitate (in questo caso, un laptop con una rete a banda larga con larghezza di banda di almeno 15 Mbps) di poter abbattere server di grandi dimensioni .
Soprannominata l'attacco BlackNurse o l' attacco a bassa velocità " Ping of Death " , questa tecnica può essere utilizzata per lanciare una serie di attacchi DoS a basso volume utilizzando l'invio di pacchetti ICMP o "ping" per inondare i processori sul server.
Anche i server protetti da firewall di Cisco , Palo Alto Networks o altre società sono colpiti da questa tecnica di attacco.
ICMP (Internet Control Message Protocol) è un protocollo utilizzato dai router e altri dispositivi di rete per inviare e ricevere messaggi di errore.
Il Ping of Death è una tecnica di attacco che sovraccarica la rete inviando al bersaglio pacchetti ICMP di dimensioni superiori a 65.536 byte. Poiché questa dimensione è maggiore di quella consentita per i pacchetti IP, verrà divisa in parti più piccole e inviata al computer di destinazione. Quando raggiunge la destinazione, verrà riassemblato in un pacchetto completo e, a causa delle sue dimensioni eccessive, causerà un overflow del buffer e un arresto anomalo.
Secondo un rapporto tecnico pubblicato questa settimana, l'attacco BlackNurse è conosciuto anche con un nome più tradizionale: " ping float attack " e si basa su query (o bug) ICMP di tipo 3. Destination Unreachable) Code 3 (Port Unreachable error). .
Queste query sono pacchetti di risposta, che in genere ritornano al ping di origine quando la porta di destinazione della destinazione è irraggiungibile – o Irraggiungibile .
1. Ecco come funziona la tecnica di attacco BlackNurse:
Inviando un pacchetto ICMP di tipo 3 con un codice 3, un hacker può causare una condizione di negazione del servizio (DoS) sovraccaricando le CPU su determinati tipi di firewall del server, indipendentemente dalla qualità della connessione Internet.
Il volume di traffico che utilizza la tecnica BlackNurse è molto ridotto, solo da 15 Mbps a 18 Mbps (o circa 40.000-50.000 pacchetti al secondo), soprattutto se paragonato all'attacco DDoS record da 1 Tbps contro il provider. .
Nel frattempo, TDC ha anche affermato che questo enorme volume non rappresenta un problema importante poiché semplicemente mantenere un flusso costante di pacchetti ICMP da 40K a 50K che raggiungono il dispositivo di rete della vittima può distruggere il dispositivo target.
Allora qual è la buona notizia qui? " Una volta avvenuto l'attacco, gli utenti della LAN non saranno più in grado di inviare o ricevere traffico da e verso Internet," hanno detto i ricercatori ."
Ciò significa tuttavia che questa tecnica di attacco DoS a basso volume è ancora molto efficace perché non solo inonda il firewall di accessi, ma costringe anche le CPU a un carico elevato e addirittura mette i server offline se l'attacco ha una capacità di rete sufficiente.
I ricercatori affermano che BlackNurse non deve essere confuso con gli attacchi ping Flooding che si basano sui pacchetti ICMP Type 8 Code 0 (o pacchetti ping regolari). I ricercatori spiegano:
" La tecnica di attacco BlackNurse ha attirato la nostra attenzione perché nel testare la soluzione anti-DDoS, anche quando la velocità di accesso e il volume dei pacchetti al secondo erano a livelli molto bassi, questo attacco potrebbe anche bloccare tutte le operazioni dei nostri clienti ."
" Questa tecnica di attacco può essere applicata anche ad aziende dotate di firewall e connessioni Internet di grandi dimensioni. Ci auguriamo che i dispositivi firewall professionali siano in grado di gestire questi attacchi. questo attacco ."
2. Dispositivi interessati
La tecnica di attacco BlackNurse è efficace con i seguenti prodotti:
- Cisco ASA Firewall Appliances 5506, 5515, 5525 (con le impostazioni predefinite).
- Dispositivi firewall Cisco ASA 5550 (vecchia generazione) e 5515-X (ultima generazione).
- Router Cisco 897 (potrebbe essere sottoposto a downgrade).
- SonicWall (l'errore di configurazione può essere modificato e mitigato).
- Alcuni dispositivi sconosciuti da Palo Alto.
- Router Zyxel NWA3560-N (attacco wireless da LAN interna).
- Dispositivo firewall Zyxel Zywall USG50.
3. Come mitigare l'attacco di BlackNurse?
Ci sono ancora buone notizie per te: ci sono diversi modi in cui puoi contrastare gli attacchi di BlackNurse.
TDC consiglia una serie di mitigazioni e regole IDS SNORT (sistema di rilevamento delle intrusioni open source SNORT) che possono essere utilizzate per rilevare gli attacchi BlackNurse. Inoltre, gli ingegneri OVH hanno pubblicato su GitHub i codici PoC (proof-of-concept), che possono essere utilizzati anche per testare i dispositivi LuckyTemplates rispetto a BlackNurse.
Per mitigare gli attacchi BlackNurse su firewall e altri dispositivi, TDC consiglia agli utenti di creare un elenco di fonti attendibili a cui è consentito inviare e ricevere pacchetti ICMP . Tuttavia, il modo migliore per mitigare l’attacco è semplicemente disabilitare i pacchetti ICMP Type 3 Code 3 sull’interfaccia WAN.
Anche Palo Alto Networks ha rilasciato una dichiarazione, affermando che i suoi dispositivi sono stati colpiti solo in " scenari molto specifici, non con impostazioni predefinite e contro pratiche comuni ". L'azienda ha anche elencato alcune raccomandazioni per i suoi clienti.
Nel frattempo, Cisco ha affermato di non considerare il comportamento riportato nel rapporto un problema di sicurezza, ma ha avvertito che:
" Raccomandiamo a tutti di impostare una licenza per i pacchetti non raggiungibili ICMP di tipo 3. Negare i messaggi non raggiungibili ICMP aiuta a disabilitare il protocollo Path MTU Discovery per i pacchetti ICMP. Questi possono impedire IPSec (Internet Protocol Security: un insieme di protocolli per proteggere il processo di trasmissione delle informazioni ) e accesso secondo il protocollo PPTP (Point-To-Point Tunneling Protocol: protocollo utilizzato per trasmettere dati tra reti private virtuali VPN) ."
Inoltre, il fornitore di software indipendente NETRESEC ha pubblicato anche un'analisi dettagliata di BlackNurse dal titolo: " La tecnica di attacco Flooding degli anni '90 è tornata ". Oltre agli avvertimenti di cui sopra, il SANS Institute ha anche annunciato un breve promemoria sull'attacco BlackNurse, in cui si discute dell'attacco e di cosa dovrebbero fare gli utenti per mitigarlo.
