Neuer Loop-DoS-Angriff basierend auf CVE-2024-2169 im UDP-Protokoll

Eine neu identifizierte Denial-of-Service-Angriff, namens Loop DoS, sorgt bei Cybersicherheitsexperten für Besorgnis. Dieser raffinierte Angriff zielt auf Protokolle der Anwendungsschicht ab und kann zu großflächigen Verkehrsunterbrechungen führen, indem er unbestimmte Kommunikationsschleifen zwischen Netzwerkdiensten erzeugt.

Forscher des CISPA Helmholtz-Zentrums für Informationssicherheit haben den Loop-DoS-Angriff aufgedeckt. Es nutzt das User Datagram Protocol und kann etwa Auswirkungen haben 300,000 Hosts und die damit verbundenen Netzwerke.

CVE-2024-2169 im Zentrum des DoS-Angriffs von Look

Der Angriff nutzt eine Schwachstelle aus, identifiziert als CVE-2024-2169, in der UDP-Protokollimplementierung. Diese Schwachstelle, gekennzeichnet durch Anfälligkeit für IP-Spoofing und unzureichende Paketüberprüfung, ermöglicht es Angreifern, einen sich selbst aufrechterhaltenden Mechanismus auszulösen. Dieser Mechanismus erzeugt ein überwältigendes Verkehrsaufkommen ohne inhärente Einschränkungen, Dies führt zu einem Denial-of-Service-Zustand auf dem Zielsystem oder Netzwerk.

Loop DoS basiert auf IP-Spoofing und kann von einem einzelnen Host aus initiiert werden, Dies macht es für Netzwerkadministratoren und Sicherheitsexperten besonders besorgniserregend.

Nach Angaben des Carnegie Mellon CERT Coordination Center (CERT/CC), Es gibt drei mögliche Folgen, wenn Angreifer die Sicherheitslücke ausnutzen:

• Überlastung anfälliger Dienste, Dadurch werden sie instabil oder unbrauchbar.
• DoS-Angriffe auf Netzwerk-Backbones, Dies führt zu Ausfällen bei anderen Diensten.
• Verstärkungsangriffe, Nutzung von Netzwerkschleifen zur Verstärkung von DoS- oder DDoS-Angriffen.

Die Forscher Yepeng Pan und Professor Dr. Christian Rossow betont die Breitenwirkung von Loop DoS, Betroffen sind beide veraltet (QOTD, Aufladen, Echo) und moderne Protokolle (DNS, NTP, TFTP). Diese Protokolle spielen eine entscheidende Rolle bei grundlegenden Internetfunktionen wie der Zeitsynchronisierung, Auflösung von Domainnamen, und Dateiübertragung ohne Authentifizierung.

Die Angriffsmethode besteht darin, die Kommunikation mit einem Anwendungsserver zu initiieren und gleichzeitig die Netzwerkadresse eines anderen anfälligen Servers zu fälschen (Opfer). Der iterative Austausch von Fehlermeldungen zwischen Servern erschöpft die verfügbaren Ressourcen, Dadurch reagieren sie nicht mehr auf legitime Anfragen.

Abwehr von Loop-DoS-Angriffen

Um das Risiko eines Denial-of-Service durch Loop DoS zu mindern, CERT/CC schlägt mehrere proaktive Maßnahmen vor. Erste, Es wird empfohlen, die neuesten Patches der Anbieter zu installieren, um die Schwachstelle zu beheben. Zusätzlich, Es wird empfohlen, Produkte zu ersetzen, die keine Sicherheitsupdates mehr erhalten, um einen robusten Schutz aufrechtzuerhalten.

Eine weitere effektive Strategie ist die Implementierung von Firewall-Regeln und Zugriffskontrolllisten, die auf UDP-Anwendungen zugeschnitten sind. Das Ausschalten unnötiger UDP-Dienste und die Implementierung von TCP oder Anforderungsvalidierung können das Risiko eines Angriffs weiter verringern.

Zudem, CERT/CC empfiehlt den Einsatz von Anti-Spoofing-Lösungen wie BCP38 und Unicast Reverse Path Forwarding. Es wird auch empfohlen, Quality-of-Service-Maßnahmen zu nutzen, um den Netzwerkverkehr zu begrenzen. Diese Maßnahmen tragen zum Schutz vor potenziellem Missbrauch durch Netzwerkschleifen und DoS-Verstärkungen bei, Dadurch wird die allgemeine Netzwerksicherheit verbessert.