Alert GCSA-24045 - Nuovo attacco Loop DoS basato sulla vulnerabilita' CVE-2024-2169
******************************************************************
Alert ID: GCSA-24045
data: 22 marzo 2024
titolo: Nuovo attacco Loop DoS basato sulla vulnerabilita' CVE-2024-2169
******************************************************************
:: Descrizione del problema
Dei ricercatori hanno dimostrato che e' possibile un nuovo tipo di attacco DoS
a livello applicativo.
Questo nuovo vettore di attacco si basa su UDP, e riguarda vari servizi applicativi:
NTP, DNS e TFTP, nonche' protocolli legacy come Echo, Chargen e QOTD.
Tuttavia, gli esperti ritengono che anche molti altri potrebbero essere coinvolti.
Se due server applicativi hanno un'implementazione vulnerabile del protocollo, un aggressore puo'
avviare una comunicazione con il primo, falsificando l'indirizzo del secondo (vittima).
In molti casi, il primo server rispondera' con un messaggio di errore verso la vittima, la quale
attivera' a sua volta un comportamento simile inviando un altro messaggio di errore al primo server.
I due servizi di rete continueranno a rispondere ai messaggi l'uno dell'altro indefinitivamente.
In tal modo, si creano grandi volumi di traffico che si traducono in una negazione del servizio
per i sistemi o le reti coinvolte.
Una volta innescato l'attacco e messo in moto il circuito, nemmeno gli aggressori sono in grado di fermarlo.
Alla vulnerabilita' in questione e' stato assegnato l'identificatore CVE-2024-2169 .
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: servizi/vendors interessati
Servizi NTP, DNS e TFTP, e protocolli legacy come Echo, Chargen e QOTD.
Arris
Broadcom (2023-12-26)
Brother (2024-02-06)
Cisco (out-of-life routers 2800/2970; maintained products unaffected)
D-Link
Honeywell (2024-01-03, CVE-2024-1309)
Hughes Network Systems
Microsoft (2024-02-19, in WDS)
MikroTik (2024-01-09)
PLANET Technology Corporation
TP-Link (out-of-life products TD-W8901G, TD-W8101G, R600VPN, WR740N, TD-W8960N)
Zyxel (end-of-life ZyWALL; maintained products unaffected)
:: Impatto
Denial of Service (DoS)
:: Soluzioni
Alcune possibili mitigazioni/soluzioni:
- disabilitare i servizi UDP non necessari e non utilizzati.
- proteggere i servizi utilizzando access-list sul firewall di rete o in locale.
- aggiornare le implementazioni dei vari servizi applicando le patch del vendor.
- se il prodotto e' obsoleto/non supportato, difficilmente i fornitori rilasceranno una patch; si consiglia pertanto di sostituire il dispositivo.
- se lo stesso servizio puo' essere implementato utilizzando TCP o con una qualsiasi funzionalita' di convalida delle richieste su UDP
(ad esempio, Message-Authenticator), implementare tale protezione.
- configurare una funzione di rate-limiting per la rete (QoS).
- implementare soluziuoni anti-spoofing come la BCP38 e l'Unicast Reverse Path Forwarding.
Nell'avviso ufficiale i ricercatori raccomandano diverse misure preventive e reattive.
:: Riferimenti
Loop DoS: New Denial-of-Service Attack targets Application-Layer Protocols
https://cispa.de/en/loop-dos
CISPA Advisory on Application-Layer Loop DoS
https://cispa.saarland/group/rossow/Loop-DoS
Repository for application-layer loop DoS
https://github.com/cispa/loop-DoS
The Shadowserver Foundation - Loop DoS Report
https://www.shadowserver.org/what-we-do/network-reporting/high-loop-dos-report/
CERT-CC - Implementations of UDP-based application protocols are vulnerable to network loops
https://kb.cert.org/vuls/id/417980
SecurityWeek - 300,000 Systems Vulnerable to New Loop DoS Attack
https://www.securityweek.com/300000-systems-vulnerable-to-new-loop-dos-attack/
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2024-2169
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZf2G+g0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCeg4AoKP5WIMpe1QFtQmIFiTPd+gLspjnAJoDlX8CUKyh
vthMJUViD4Ghs4XQHA==
=Oy0Z
-----END PGP SIGNATURE-----
Alert ID: GCSA-24045
data: 22 marzo 2024
titolo: Nuovo attacco Loop DoS basato sulla vulnerabilita' CVE-2024-2169
******************************************************************
:: Descrizione del problema
Dei ricercatori hanno dimostrato che e' possibile un nuovo tipo di attacco DoS
a livello applicativo.
Questo nuovo vettore di attacco si basa su UDP, e riguarda vari servizi applicativi:
NTP, DNS e TFTP, nonche' protocolli legacy come Echo, Chargen e QOTD.
Tuttavia, gli esperti ritengono che anche molti altri potrebbero essere coinvolti.
Se due server applicativi hanno un'implementazione vulnerabile del protocollo, un aggressore puo'
avviare una comunicazione con il primo, falsificando l'indirizzo del secondo (vittima).
In molti casi, il primo server rispondera' con un messaggio di errore verso la vittima, la quale
attivera' a sua volta un comportamento simile inviando un altro messaggio di errore al primo server.
I due servizi di rete continueranno a rispondere ai messaggi l'uno dell'altro indefinitivamente.
In tal modo, si creano grandi volumi di traffico che si traducono in una negazione del servizio
per i sistemi o le reti coinvolte.
Una volta innescato l'attacco e messo in moto il circuito, nemmeno gli aggressori sono in grado di fermarlo.
Alla vulnerabilita' in questione e' stato assegnato l'identificatore CVE-2024-2169 .
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: servizi/vendors interessati
Servizi NTP, DNS e TFTP, e protocolli legacy come Echo, Chargen e QOTD.
Arris
Broadcom (2023-12-26)
Brother (2024-02-06)
Cisco (out-of-life routers 2800/2970; maintained products unaffected)
D-Link
Honeywell (2024-01-03, CVE-2024-1309)
Hughes Network Systems
Microsoft (2024-02-19, in WDS)
MikroTik (2024-01-09)
PLANET Technology Corporation
TP-Link (out-of-life products TD-W8901G, TD-W8101G, R600VPN, WR740N, TD-W8960N)
Zyxel (end-of-life ZyWALL; maintained products unaffected)
:: Impatto
Denial of Service (DoS)
:: Soluzioni
Alcune possibili mitigazioni/soluzioni:
- disabilitare i servizi UDP non necessari e non utilizzati.
- proteggere i servizi utilizzando access-list sul firewall di rete o in locale.
- aggiornare le implementazioni dei vari servizi applicando le patch del vendor.
- se il prodotto e' obsoleto/non supportato, difficilmente i fornitori rilasceranno una patch; si consiglia pertanto di sostituire il dispositivo.
- se lo stesso servizio puo' essere implementato utilizzando TCP o con una qualsiasi funzionalita' di convalida delle richieste su UDP
(ad esempio, Message-Authenticator), implementare tale protezione.
- configurare una funzione di rate-limiting per la rete (QoS).
- implementare soluziuoni anti-spoofing come la BCP38 e l'Unicast Reverse Path Forwarding.
Nell'avviso ufficiale i ricercatori raccomandano diverse misure preventive e reattive.
:: Riferimenti
Loop DoS: New Denial-of-Service Attack targets Application-Layer Protocols
https://cispa.de/en/loop-dos
CISPA Advisory on Application-Layer Loop DoS
https://cispa.saarland/group/rossow/Loop-DoS
Repository for application-layer loop DoS
https://github.com/cispa/loop-DoS
The Shadowserver Foundation - Loop DoS Report
https://www.shadowserver.org/what-we-do/network-reporting/high-loop-dos-report/
CERT-CC - Implementations of UDP-based application protocols are vulnerable to network loops
https://kb.cert.org/vuls/id/417980
SecurityWeek - 300,000 Systems Vulnerable to New Loop DoS Attack
https://www.securityweek.com/300000-systems-vulnerable-to-new-loop-dos-attack/
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2024-2169
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZf2G+g0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCeg4AoKP5WIMpe1QFtQmIFiTPd+gLspjnAJoDlX8CUKyh
vthMJUViD4Ghs4XQHA==
=Oy0Z
-----END PGP SIGNATURE-----