S’ha trobat un nou vector d’atac de denegació de servei (DoS) per orientar els protocols de la capa d’aplicació, basats en el protocol d’User Datagram Protocol (UDP), que posa en risc centenars de milers d’amfitrions.

Anomenats atacs Loop DoS, l’estratègia emparella «servidors d’aquests protocols de tal manera que es comuniquen entre ells indefinidament», van dir els investigadors del CISPA Helmholtz-Center for Information Security.

L’UDP, per disseny, és un protocol sense connexió que no valida les adreces IP d’origen, cosa que el fa susceptible a la falsificació d’IP.

Així, quan els atacants falsifiquen diversos paquets UDP per incloure una adreça IP de la víctima, el servidor de destinació respon a la víctima (i no a l’actor de l’amenaça), i crea un atac de denegació de servei (DoS) reflectit.

L’últim estudi va trobar que determinades implementacions del protocol UDP, com ara DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD i Time, es poden activar per crear un bucle d’atac autoperpetuat.

«Emparella dos serveis de xarxa de tal manera que segueixen responent els missatges de l’altre indefinidament”, van dir els investigadors. «En fer-ho, creen grans volums de trànsit que es tradueixen en una denegació de servei per als sistemes o xarxes implicats. Un cop s’injecta un disparador i el bucle es posa en marxa, ni els atacants no poden aturar l’atac.»

En poques paraules, donats dos servidors d’aplicacions que executen una versió vulnerable del protocol, un actor d’amenaça pot iniciar la comunicació amb el primer servidor falsificant l’adreça del segon servidor, cosa que provoca que el primer servidor respongui a la víctima (és a dir, el segon servidor) amb un missatge d’error.

La víctima, al seu torn, també mostrarà un comportament similar, enviarà un altre missatge d’error al primer servidor, i esgotarà efectivament els recursos de l’altre, amb la qual cosa cap dels serveis no podrà respondre.

«Si un error, com a entrada, crea un error com a sortida, i un segon sistema es comporta igual, aquests dos sistemes seguiran enviant missatges d’error indefinidament», van explicar Yepeng Pan i Christian Rossow.

CISPA va dir que es pot abusar d’uns 300.000 amfitrions i les seves xarxes per dur a terme atacs Loop DoS.

Tot i que actualment no hi ha proves que l’atac hagi estat activat fora de laboratori i posat a disposició del públic en general, els investigadors van advertir que l’explotació és trivial i que diversos productes de Broadcom, Cisco, Honeywell, Microsoft, MikroTik, i Zyxel n’estan afectats.

«Els atacants necessiten un únic host amb capacitat de falsificació per activar bucles», van assenyalar els investigadors. «Per això és important mantenir iniciatives per filtrar el trànsit falsificat, com ara la BCP38.»