Для проведения DoS-атак не всегда требуются масштабные ботнеты. Исследователи информационной безопасности описали атаку BlackNurse, в ходе которой с помощью одного ноутбука можно отключить межсетевые экраны популярных производителей.
В чем проблема
Датские исследователи из отдела SOC (Security Operations Center) телеком-оператора TDC описали атаку BlackNurse, для осуществления которой используется особенность обработки ICMP-запросов популярными файрволлами.
В тексте опубликованного исследования авторы пишут, что столкнулись с проблемой при разработке собственного решения по борьбе с DoS — в некоторых случаях, несмотря на небольшой объём входящего трафика и малого числа принимаемых пакетов, общая скорость работы сети замедлялась. Эффект наблюдался даже для крупных корпоративных клиентов, обладающих каналами с большой пропускной способностью и использующих дорогостоящее оборудование известных вендоров.
В ходе атаки используются сообщения ICMP Type 3 “unreachable” — в частности, сообщение ICMP Type 3 Code 3 “port unreachable”. С их помощью можно перегрузить процессор межсетевого экрана, что приводит к отказу в обслуживании. Согласно данным эксперимента, с помощью одного ноутбука подобным методом можно осуществить атаку мощностью 180 Мбит/с.
В публикации экспертов TDC не говорится о том, почему эти пакеты потребляют так много процессорного времени межсетевых экранов, однако ИБ-эксперт SANS Technology Institute Ханс Ульрих предположил, что дело может быть в попытке файрволла провести stateful-анализ пакетов, которая требует большого количества ресурсов.
«На разных межсетевых экранах нагрузка увеличивалась в любом случае. В процессе осуществления атаки пользователи LAN, находящейся за файрволом, теряли возможность отправки и получения трафика в и из интернета, после прекращения атаки работоспособность восстанавливалась», — пишут исследователи в своем документе.
По данным экспертов TDC, уязвимы следующие продукты:
- Cisco ASA 5506, 5515, 5525 (при использовании стандартных настроек)
- Cisco ASA 5550 (legacy) and 5515-X (последнее поколение)
- Cisco Router 897 (атаку можно отразить)
- SonicWall (проблема решается изменением стандартной конфигурации)
- некоторые Palo Alto
- Zyxel NWA3560-N (беспроводная атака со стороны LAN)
- Zyxel Zywall USG50
Межсетевые экраны, работающие через iptables не подвержены атаке.
Как защититься
Узнать, уязвима ли конкретная система, можно разрешив ICMP на стороне WAN межсетевого экрана и осуществить тест с помощью Hping3, одновременно попробовав осуществить подключение к интернету из сети. Можно использовать следующие команды hping3:
hping3 -1 -C 3 -K 3 -i u20 <target ip>
hping3 -1 -C 3 -K 3 --flood <target ip>
Исследователи также представили правило SNORT IDS для детектирования атаки BlackNurse:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC – Possible BlackNurseattack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)
alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC –Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)
Для минимизации рисков могут быть использованы различные способы. В частности, эксперты рекомендуют настроить на межсетевом экране список доверенных ресурсов, от которых принимаются ICMP-пакеты. Кроме того, имеет смысл отключить ICMP Type 3 Code 3 на стороне WAN.
Затруднить проведение кибератак, предотвратить масштабные утечки и смягчить последствия инцидентов информационной безопасности можно с помощью использования специализированных средств защиты — например, при помощи нового программно-аппаратного комплекса MaxPatrol SIEM.
С помощью MaxPatrol SIEM можно анализировать данные, полученные с МЭ, IPS\IDS систем или собранные собственным агентом Network Sensor — это позволяет вовремя обнаруживать и сигнализировать об атаках вроде BlackNurse. При этом, качественное внедрение SIEM позволяет добиться того, что один раз описав логику обаружения конкретной атаки, система сможет выявлять все атаки данного класса, как снаружи периметра, так и внутри на зачастую крайне сложных иерархически гетерогенных инфраструктурах.
Узнать о теории и практике внедрения и эксплуатации SIEM-систем на примере MaxPatrol можно будет 17 ноября в 14:00 на бесплатном вебинаре Владимира Бенгина, руководителя отдела поддержки продаж SIEM.
Зарегистрироваться для участия в вебинаре можно здесь
Комментарии (14)
vsarakoff
16.11.2016 00:13Забыли указать, что регистрация не означает того, что вы вышлете ссылку на вебинар после регистрации.
ptsecurity
17.11.2016 19:08Ссылка на вебинар приходит не сразу после регистрации — она рассылается за час до вебинара.
Вам сегодня (17 ноября) не пришла ссылка?vsarakoff
18.11.2016 23:21Мне не пришла ссылка на прошлый вебинар (спам папку разумеется проверил), хотя и подтвердили моё участие. На webinar@ptsecurity.ru меня тоже решили проигнорировать когда я спросил о такой оказии.
milleroff
16.11.2016 01:23+3Тоже мне, открыли Америку.
Любой сетевой инженер должен знать что ICMP пакеты типа «unreachable» обрабатываются/генерируются роутером в «software mode». Поэтому на нормальном железе есть настройки где можно задать лимит на количество таких пакетов в секунду, что-бы не нагружать процессор.iXCray
16.11.2016 01:58-1Только вот включение безопасных настроек по умолчанию со всеми лимитами на базе заведомо известных мощностей продукта — в зоне ответственности производителя.
ErshoFF
16.11.2016 12:02+1Если следовать такому требованию — то тогда автомобилестроители должны зарезать скорость всех выпускаемых автомобилей до 60 км/ч, а то и ещё меньше.
Однако действительность сложнее…Tufed
16.11.2016 12:19Не нужно крайностей, но не допустить выхода из строя автомобиля/мотоцикла ограничивая обороты двигателя — уже есть из коробки у многих умных транспортных средств. А для этого случая отключение оборудования по причине нехватки мощности для обработки пакетов — вполне логически предполагаемое, и защита из коробки должна быть и включена по-умолчанию (с вариантом отключения на свой страх и риск).
ErshoFF
16.11.2016 13:12На мой взгляд не совсем верные аналогии.
Более правильно будет
обороты двигателя — скорость процессора
скорость автомобиля — скорость на внешних портах.
В каких-то случаях двигателя не хватит для перевозки груза превосходящего расчетный.
Странно то, что расчетный груз может вызывать перегрузку двигателя.
tbp2k5
17.11.2016 19:10По-моему проблема в том что «statefull» межсетевые экраны (те которые appliance а не на конечном сервере) в принципе не могут нормально работать: они не знают и не могут знать реального состояния сетевого стека на стороне клиента и/или сервера, их вычислительная мощность на порядок ниже клиент-серверной. Отсюда и растут ноги бесконечных «drop» политик и «експирящиеся» сессии которые приводят к случайно залипающим/отваливающимся коннектам. В смысле отладки — полный кошмар.
qpla
17.11.2016 19:10Узнать, уязвима ли конкретная система, можно разрешив ICMP на стороне WAN межсетевого экрана и осуществить тест
По умолчанию на Cisco ASA запрещен ICMP протокол.
Нет списка версий прошивок на которых тестировалась данная проблема — проблеме может быть решена несколько релизов назад, а сейчас просто опубликовали.
den_golub
Стал замечать, что в последнее время таких статей в интернете все больше, разработчик в погоне за защитой от серьезных атак, забывают о таких с одной стороны незначительных деталях, но все же очень обидных.