Se ha identificado un nuevo vector de ataque de denegación de servicio (DoS) que apunta a los protocolos de capa de aplicación basados en UDP, lo que pone en peligro a una gran cantidad de sistemas.
Denominado “ataques Loop DoS”, este método involucra la conexión de servidores de estos protocolos de manera que se comuniquen entre sí de forma continua, según lo informado por investigadores del Centro CISPA Helmholtz para la Seguridad de la Información.
El protocolo UDP, por su naturaleza sin conexión, no valida las direcciones IP de origen, lo que lo hace susceptible a la suplantación de IP.
Así, cuando los atacantes falsifican múltiples paquetes UDP para incluir la dirección IP de la víctima, el servidor de destino responde a la víctima en lugar del atacante, generando un ataque de denegación de servicio reflejado. Un estudio reciente reveló que algunas implementaciones específicas del protocolo UDP, como DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD y Time, pueden ser utilizadas para crear un bucle de ataque que se perpetúa a sí mismo.
Los investigadores explican que este método consiste en emparejar dos servicios de red de forma que respondan indefinidamente a los mensajes del otro, generando un gran volumen de tráfico que resulta en una denegación de servicio para los sistemas o redes involucradas. Una vez que se activa el bucle, ni siquiera los atacantes pueden detener el ataque.
En resumen, con dos servidores de aplicaciones que ejecutan una versión vulnerable del protocolo, un actor de amenazas puede iniciar la comunicación con el primer servidor falsificando la dirección del segundo, lo que lleva a un intercambio de mensajes de error entre los servidores, agotando sus recursos y dejando los servicios inoperativos.
Se estima que aproximadamente 300,000 hosts y sus redes pueden ser explotados para llevar a cabo estos ataques Loop DoS, aunque hasta ahora no hay evidencia de su uso como arma en la naturaleza. Sin embargo, los investigadores advierten que la explotación es simple y afecta a múltiples productos de fabricantes como Broadcom, Cisco, Honeywell, Microsoft, MikroTik y Zyxel.
Los atacantes solo necesitan un único host con capacidad de suplantación de identidad para iniciar estos bucles, por lo que es crucial implementar medidas para filtrar el tráfico falsificado, como BCP38, según indican los investigadores.