Un nuovo attacco denial-of-service denominato Loop DoS che prende di mira i protocolli del livello applicativo può accoppiare i servizi di rete in un ciclo di comunicazione indefinito che crea grandi volumi di traffico.
Ideato dai ricercatori del CISPA Helmholtz-Center for Information Security, l’attacco utilizza lo User Datagram Protocol (UDP) e colpisce circa 300.000 host e le loro reti. L’attacco è possibile a causa di una vulnerabilità, attualmente tracciata come CVE-2024-2169, nell’implementazione del protocollo UDP, che è suscettibile allo spoofing IP e non fornisce una verifica sufficiente dei pacchetti. Un utente malintenzionato che sfrutta la vulnerabilità crea un meccanismo che genera traffico eccessivo senza limiti e senza un reale metodo per fermarlo, portando a una condizione di denial-of-service (DoS) sul sistema di destinazione o addirittura su un’intera rete. Loop DoS si basa sullo spoofing IP e può essere attivato da un singolo host che invia un messaggio per avviare la comunicazione.
Secondo il Carnegie Mellon CERT Coordination Center (CERT/CC) ci sono tre potenziali risultati quando un utente malintenzionato sfrutta la vulnerabilità:
- Sovraccarico di un servizio vulnerabile che lo rende instabile o inutilizzabile
- Attacco DoS alla dorsale della rete, causando interruzioni della rete ad altri servizi
- Attacchi di amplificazione che coinvolgono loop di rete causando attacchi DOS o DDOS amplificati
I ricercatori del CISPA Yepeng Pan e il professor Dr. Christian Rossow affermano che l’impatto potenziale è notevole, poiché abbraccia sia i protocolli obsoleti (QOTD, Chargen, Echo) che quelli moderni (DNS, NTP, TFTP) che sono cruciali per le funzioni di base basate su Internet come la sincronizzazione dell’ora, risoluzione del nome di dominio e trasferimento di file senza autenticazione. Finora, i fornitori che hanno confermato che le loro implementazioni sono interessate da CVE-2024-2169 sono Broadcom, Cisco, Honeywell, Microsoft e MikroTik.
Per evitare il rischio di negazione del servizio tramite Loop DoS, CERT/CC consiglia di installare le patch più recenti dei fornitori che risolvono la vulnerabilità e sostituiscono i prodotti che non ricevono più aggiornamenti di sicurezza. Anche l’utilizzo di regole firewall ed elenchi di controllo degli accessi per le applicazioni UDP, la disattivazione dei servizi UDP non necessari e l’implementazione del TCP o della convalida delle richieste sono misure che possono mitigare il rischio di un attacco. Inoltre, l’organizzazione consiglia di implementare soluzioni anti-spoofing come BCP38 e Unicast Reverse Path Forwarding (uRPF) e di utilizzare misure di qualità del servizio (QoS) per limitare il traffico di rete e proteggere dagli abusi derivanti da loop di rete e amplificazioni DoS.