Une nouvelle attaque par déni de service baptisée « Loop DoS » ciblant les protocoles de la couche applicative peut associer des services réseau dans une boucle de communication indéfinie qui crée de gros volumes de trafic.

Conçue par des chercheurs du CISPA Helmholtz-Center for Information Security, l’attaque utilise le protocole UDP (User Datagram Protocol) et affecte environ 300 000 hôtes et leurs réseaux.

L’attaque est possible en raison d’une vulnérabilité, actuellement suivie comme CVE-2024-2169, dans l’implémentation du protocole UDP, qui est susceptible d’usurpation d’adresse IP et ne fournit pas une vérification suffisante des paquets.

Un attaquant exploitant la vulnérabilité crée un mécanisme d’auto-perpétuation qui génère un trafic excessif sans limites et sans moyen de l’arrêter, conduisant à une condition de déni de service (DoS) sur le système cible ou même sur un réseau entier.

La boucle DoS repose sur l’usurpation d’adresse IP et peut être déclenchée à partir d’un seul hôte qui envoie un message pour démarrer la communication.

Selon le Carnegie Mellon CERT Coordination Center (CERT / CC), il existe trois résultats potentiels lorsqu’un attaquant exploite la vulnérabilité:

  • Surcharge d’un service vulnérable et le rendant instable ou inutilisable.
  • Attaque DoS sur l’épine dorsale du réseau, provoquant des pannes de réseau vers d’autres services.
  • Attaques d’amplification impliquant des boucles réseau provoquant des attaques DOS ou DDOS amplifiées.

Les chercheurs du CISPA Yepeng Pan et le professeur Christian Rossow affirment que l’impact potentiel est notable, couvrant à la fois des protocoles obsolètes (QOTD, Chargen, Echo) et modernes (DNS, NTP, TFTP) qui sont cruciaux pour les fonctions Internet de base telles que la synchronisation de l’heure, la résolution des noms de domaine et transfert de fichiers sans authentification.

« Si deux serveurs d’applications ont une implémentation vulnérable dudit protocole, un attaquant peut initier une communication avec le premier serveur, usurpant l’adresse réseau du deuxième serveur (victime) », explique CERT/CC.

« Dans de nombreux cas, le premier serveur répondra avec un message d’erreur à la victime, ce qui déclenchera également un comportement similaire d’un autre message d’erreur vers le premier serveur » – Centre de coordination du CERT

Ce processus se poursuit jusqu’à ce que toutes les ressources disponibles soient complètement épuisées, ce qui empêche les serveurs de répondre aux demandes légitimes.

Au total, on estime que 300 000 hôtes Internet sont vulnérables aux attaques DoS en boucle.

Les chercheurs ont averti que l’attaque est facile à exploiter, notant qu’il n’y a aucune preuve indiquant une exploitation active pour le moment.

Rossow et Pan ont partagé leurs conclusions avec les fournisseurs concernés et ont informé le CERT / CC pour une divulgation coordonnée.

Jusqu’à présent, les fournisseurs qui ont confirmé que leurs implémentations sont affectées par CVE-2024-2169 sont Broadcom, Cisco, Honeywell, Microsoft et MikroTik.

Pour éviter le risque de déni de service via la boucle DoS, CERT / CC recommande d’installer les derniers correctifs des fournisseurs qui corrigent la vulnérabilité et remplacent les produits qui ne reçoivent plus de mises à jour de sécurité.

L’utilisation de règles de pare-feu et de listes de contrôle d’accès pour les applications UDP, la désactivation des services UDP inutiles et la mise en œuvre de TCP ou de la validation des requêtes sont également des mesures qui peuvent atténuer le risque d’attaque.

De plus, l’organisation recommande de déployer des solutions anti-usurpation telles que BCP38 et Unicast Reverse Path Forwarding (uRPF), et d’utiliser des mesures de qualité de service (QoS)pour limiter le trafic réseau et se protéger contre les abus des boucles réseau et des amplifications DoS.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *