Một cuộc tấn công DoS (Gián đoạn Dịch vụ) mới nhắm vào các giao thức tầng ứng dụng sử dụng Giao thức UDP) để truyền end-to-end. ‘Các cuộc tấn công DoS vòng lặp tầng ứng dụng’ ghép nối các máy chủ của các giao thức này theo cách chúng giao tiếp với nhau vô thời hạn. Lỗ hổng này ảnh hưởng đến cả các giao thức cũ (ví dụ: QOTD, Chargen, Echo) và các giao thức hiện đại (ví dụ: DNS, NTP và TFTP). Được phát hiện bởi các nhà nghiên cứu của Trung tâm An ninh Thông tin Helmholtz CISPA, cuộc tấn công này được ước tính đe dọa tới 300.000 máy chủ Internet và mạng của chúng.

Các nhà nghiên cứu từ Trung tâm An ninh Thông tin CISPA Helmholtz cho biết, chúng được gọi là các cuộc tấn công Loop DoS , cách tiếp cận này kết hợp “các máy chủ của các giao thức này theo cách mà chúng giao tiếp với nhau vô thời hạn”.

UDP, theo thiết kế, là một giao thức không kết nối và không xác thực địa chỉ IP nguồn, khiến nó dễ bị tấn công giả mạo IP. Do đó, khi kẻ tấn công (giả mạo) các gói tin UDP để bao gồm địa chỉ IP của nạn nhân, máy chủ đích sẽ phản hồi lại nạn nhân (chứ không phải kẻ tấn công), tạo ra một cuộc tấn công DoS phản xạ (Reflective DoS).

Nghiên cứu mới nhất phát hiện rằng một số triển khai nhất định của giao thức UDP, chẳng hạn như DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD và Time, có thể bị lợi dụng để tạo ra một vòng lặp tấn công tự lặp lại.

Các nhà nghiên cứu cho biết : “Dựa vào cách ghép nối hai dịch vụ mạng theo cách mà chúng liên tục phản hồi gói tin của nhau vô thời hạn” . “Khi làm như vậy, chúng tạo ra khối lượng lớn lưu lượng truy cập dẫn đến việc từ chối dịch vụ đối với các hệ thống hoặc mạng liên quan. Một khi trình kích hoạt được đưa vào và vòng lặp bắt đầu chuyển động, ngay cả những kẻ tấn công cũng không thể dừng cuộc tấn công.”

Nói một cách đơn giản, với hai máy chủ ứng dụng đang chạy phiên bản giao thức dễ bị tấn công, kẻ tấn công có thể bắt đầu liên lạc với máy chủ đầu tiên bằng cách giả mạo địa chỉ của máy chủ thứ hai, khiến máy chủ đầu tiên phản hồi nạn nhân (tức là máy chủ thứ hai) với một thông báo lỗi. Ngược lại, nạn nhân cũng sẽ có hành vi tương tự, gửi lại một thông báo lỗi khác đến máy chủ đầu tiên, làm cạn kiệt tài nguyên của nhau và khiến một trong hai dịch vụ không phản hồi.

Yepeng Pan và Christian Rossow giải thích: “Nếu một lỗi ở đầu vào tạo ra một lỗi ở đầu ra và hệ thống thứ hai hoạt động giống nhau thì hai hệ thống này sẽ tiếp tục gửi thông báo lỗi qua lại vô thời hạn”.

CISPA cho biết ước tính có khoảng 300.000 máy chủ và mạng của chúng có thể bị lạm dụng để thực hiện các cuộc tấn công Loop DoS. Mặc dù hiện tại không có bằng chứng nào cho thấy cuộc tấn công đã được vũ khí hóa một cách công khai nhưng các nhà nghiên cứu cảnh báo rằng việc khai thác là không đáng kể và nhiều sản phẩm từ Broadcom, Cisco, Honeywell, Microsoft, MikroTik và Zyxel đều bị ảnh hưởng. Các nhà nghiên cứu lưu ý: “Những kẻ tấn công cần một máy chủ có khả năng giả mạo duy nhất để kích hoạt các vòng lặp”. “Vì vậy, điều quan trọng là phải theo kịp các sáng kiến ​​để lọc lưu lượng truy cập giả mạo, chẳng hạn như BCP38.”

Kỹ thuật tấn công trên được cho là nhắm đến khai thác lỗ hổng mới – CVE-2024-2169.

Nguồn: Thehackernews.