Nowe zagrożenie z kategorii „odmowa usługi” (DoS) atakuje protokoły warstwy aplikacyjnej korzystające z protokołu UDP w celu komunikacji typu end-to-end. Atak Loop Dos łączy serwery tych protokołów w taki sposób, iż komunikują się ze sobą w nieskończoność. Luka dotyczy zarówno starszych (np. QOTD, Chargen, Echo), jak i współczesnych (np. DNS, NTP i TFTP) protokołów aplikacyjnych. Atak wykryty został przez badaczy z CISPA Helmholtz-Center for Information Security i naraża około 300 000 hostów w Internecie.
Nowo odkryty atak typu DoS ma charakter samonapędzający i zagraża pakietom w warstwie aplikacji. Łączy dwie usługi sieciowe w taki sposób, iż odpowiadają one sobie wzajemnie na wiadomości w nieskończoność. W ten sposób tworzą duże natężenie ruchu, które skutkuje odmową usługi dla zaangażowanych w komunikację systemów lub sieci. Po wstrzyknięciu komendy startowej i uruchomieniu pętli choćby atakujący nie są w stanie zatrzymać ataku. Znane wcześniej ataki o charakterze pętli miały miejsce w warstwie routingu pojedynczej sieci i ograniczały się do skończonej liczby iteracji pętli.
Szacuje się, iż około 300 000 hostów internetowych może zostać wykorzystanych w ten sposób
Odkryte przez badaczy CISPA Yepenga Pana i prof. dr. Christiana Rossowa ataki DoS z pętlą w warstwie aplikacji prawdopodobnie dotkną łącznie 300 000 hostów internetowych. Jak dotąd odkrywcy potwierdzili luki w zabezpieczeniach implementacji TFTP, DNS i NTP, a także sześciu starszych protokołów: Daytime, Time, Active Users, Echo, Chargen i QOTD. Protokoły te są szeroko stosowane w celu zapewnienia podstawowych funkcjonalności w Internecie. Podczas gdy na przykład NTP umożliwia synchronizację czasu między komputerami, DNS dopasowuje nazwy domen do odpowiadających im adresów IP. Protokół TFTP umożliwia przesyłanie plików bez uwierzytelniania użytkownika.
Ataki mogą być inicjowane z jednego hosta zdolnego do spoofingu
Ataki Loop DoS w warstwie aplikacji opierają się na fałszowaniu adresów IP i mogą być wyzwalane z pojedynczego hosta zdolnego do sfałszowania. „Napastnicy mogą na przykład spowodować pętlę obejmującą dwa wadliwe serwery TFTP, wstrzykując jeden pojedynczy komunikat o błędzie sfałszowany pod dany adres IP. Podatne serwery w dalszym ciągu wysyłałyby sobie nawzajem komunikaty o błędach TFTP, obciążając oba serwery i każde łącze sieciowe między nimi” – wyjaśnia Rossow. Podkreśla także nowość tego wektora ataku: „Odkryte przez nas pętle na poziomie aplikacji różnią się od znanych pętli w warstwie sieci. Dlatego istniejące kontrole czasu życia pakietów stosowane na poziomie sieci nie są w stanie przerwać pętli warstwy aplikacji”.
Łatwy do wykorzystania atak
„O ile nam wiadomo, tego rodzaju ataku nie przeprowadzono jeszcze w terenie. Jednak atakującym łatwo byłoby wykorzystać tę lukę, gdyby nie zostały podjęte żadne działania w celu ograniczenia ryzyka” – mówi Rossow. W grudniu 2023 r. firma Rossow and Pan ujawniła swoje odkrycie zainteresowanym dostawcom i społeczności zaufanych operatorów. Dwóch badaczy CISPA koordynowało plan publikacji poradnika dotyczącego konkretnego ataku i wspólnie z The Shadowserver Foundation rozpoczęło kampanię powiadamiania.
Pod poniższym adresem dla zainteresowanych znajduje się PoC ataku: https://github.com/cispa/loop-DoS