.png)
Un gruppo di ricercatori del CISPA Helmholtz Center for Information Security in Germania hanno scoperto un nuovo tipo di attacco informatico che prende di mira gli applicativi che sfruttano il protocollo UDP (User Datagram Protocol) per la comunicazione e ha il potenziale per colpire centinaia di migliaia di sistemi connessi a internet, dato che la vulnerabilità sfruttata è presente nell'hardware di aziende tra cui Broadcom, Microsoft e MikroTik. Questo attacco, denominato Loop DoS, ha la capacità di far comunicare due server all'infinito utilizzando lo spoofing dell'IP, con conseguenze devastanti in termini di disponibilità dei servizi.
Il protocollo UDP è una componente cruciale dell'insieme dei protocolli Internet. Consente l'invio di pacchetti di dati attraverso la rete senza aver bisogno di stabilire una connessione diretta tra mittente e destinatario, una caratteristica che lo rende particolarmente vulnerabile agli attacchi di spoofing, dove un aggressore può falsificare i pacchetti con l'indirizzo IP della vittima, indirizzandoli verso server che risponderanno a questa, creando traffico indesiderato.
La metodologia dell'attacco è sorprendentemente semplice, ma efficace: un malintenzionato può far comunicare due server di applicazioni, che utilizzano una versione vulnerabile del protocollo, usando un indirizzo "spoofato", ossia contraffato. Questi server, a seguito di un errore, iniziano a inviarsi reciprocamente messaggi di errore in un ciclo senza fine, esaurendo le proprie risorse.
L'attacco non si limita a danneggiare i servizi che utilizzano protocolli UDP vecchi e ormai obsoleti come QOTD, Chargen, Echo, ma colpisce anche protocolli moderni e ampiamente diffusi come DNS, NTP e TFTP, aumentando significativamente il suo impatto potenziale.
Il professore Dr. Christian Rossow, co-autore dello studio, illustra un esempio particolarmente eloquente: gli attaccanti potrebbero sfruttare una vulnerabilità coinvolgendo due server TFTP difettosi, inducendoli a inviarsi reciprocamente messaggi di errore TFTP, generando uno stress sia sui server coinvolti che sui collegamenti di rete tra di loro.
Nello studio si sottolinea anche che i cicli rilevati a livello applicativo sono diversi da quelli osservabili a livello di rete, rendendo inutili i controlli sulla durata del pacchetto attualmente impiegati per prevenire loop a livello di rete.
Sebbene siano stati identificati circa 300.000 host vulnerabili a questi attacchi, fino ad ora non si ha notizia di attacchi di questo tipo avvenuti nel mondo reale. Tuttavia, è stata pubblicata una lista parziale di prodotti hardware potenzialmente interessati e i ricercatori sono in contatto con i fornitori per verificare l'impatto sui loro prodotti. Tra i marchi che potrebbero essere interessati troviamo Arris, Cisco, D-Link, Honeywell, e altri, con specifiche vulnerabilità già assegnate come CVE-2024-1309 per Honeywell.
Come proteggersi da Loop DoS
Ci sono diversi modi per difendersi da Loop DoS ed evitare che mandi in tilt i propri sistemi. CERT/CC raccomanda di installare le ultime patch rilasciate dai diversi produttori, che includono correzioni atte a risolvere la vulnerabilità, oppure sostituire l'hardware obsoleto che non riceve più aggiornamenti di sicurezza. Un'altra tecnica consiste nell'usare le regole di un firewall e una whitelist per le applicazioni UDP, disattivando i servizi UDP non necessari, o ancora è possibile implementare il protocollo TCP o un sistema di validazione delle richieste.
Le aziende possono poi impiegare soluzioni anti-spoofing come BCP38 e uRPF (Unicast Reverse Path Forwarding) e usare misure di QoS (Quality of Service) per limitare il traffico di rete e proteggere i sistemi da attacchi come Loop DoS.