'Blacknurse'-angreb sender med forbavsende lidt trafik firewalls til tælling

7 kommentarer.  Hop til debatten
Kode i flere firewalls gør det muligt at sende enhederne i knæ med relativt lidt trafik.
14. november 2016 kl. 13:00
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Flere populære firewalls indeholder en stump kode, der gør det muligt at sende udstyret i knæ med et særligt udformet ping. Det fortæller The Register, blandt andet på baggrund af en rapport fra danske TDC's Security Operations Center (PDF), som har kigget nærmere på angrebet.

Angrebsteknikken kan bruges mod firewalls fra Cisco, SonicWall, Zyxel og muligvis Palo Alto. Derudover kan andet udstyr også være påvirket.

»Påvirkningen, vi ser på forskellige firewalls, er typisk en høj CPU-belastning. Når angrebet pågår, så er brugere fra LAN-siden ikke længere i stand til at sende/modtage trafik til/fra internettet. Alle firewalls, vi har observeret, kommer sig, når angrebet stopper,« skriver TDC-holdet i rapporten.

Blacknurse gør brug af ICMP (Internet Control Message Protocol ( 'type 3, code 3'-pakker). Blandt andet gør værktøjet ping brug af echo-funktionen i ICMP.

Artiklen fortsætter efter annoncen

Under normale omstændigheder vil en host modtage sådan en pakke som svar på en besked, hosten selv havde startet med. Men det er, bemærker The Register, trivielt at generere sådan en ICMP-pakke og sende den mod et mål.

Og på de enheder, der er sårbare over for Blacknurse, får styresystemet forstoppelse efter at have forsøgt at processere blot et mindre antal af disse beskeder.

Ifølge TDC-rapporten er det muligt at nedlægge en sårbar gigabit-enhed med så lidt som 18 Mbps Blacknurse-trafik sendt til WAN-interfacet.

Den gode nyhed, bemærker The Register, er, at angrebet er let at blokere ved simpelthen at droppe ICMP-trafik.

Artiklen fortsætter efter annoncen

It-sikkerhedsvirksomheden Netresec har flere tekniske detaljer om angrebsteknikken.

7 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
7
15. november 2016 kl. 10:56

Det er interessant at læse kommentarer her da der må være nogen der har misforstået udfordringen.

Som der også er beskrevet på siden http://blacknurse.dkICMP ATTACK HISTORY

Jan 1997 - Ping of death Type 8 Code 3. Malformed ping packets Larger then 1500 Bytes - Normal was 65.536 bytes Result: Crash, Reboot, Hangs and mixed results

April 1997 - Ping flodding Type 8 Code 0 Normal ping packets sent very fast to systems. You need more bandwidth than the victim. Result: Consume enough of its CPU cycles for a user to notice a significant slowdown.

We invented firewalls to prevent stuff like this !

November 2016 – The Blacknurse Attack Type 3 Code 3 Send NORMAL Destination Unreachable, Port Unreachable packets fast. You do NOT need more bandwidth than the victim. Result: High CPU. Users from LAN-side can’t surf the Internet.

Jeg mener ikke det er reklamefremstød eller gamle nyheder når nye dyre firewall i 2016 kan lægges ned af så simpelt og trivielt angreb. Jeg mener heller ikke det er reklamefremstød når denne type angreb er set flere gange med stor success inden for de seneste år.

Jeg undre mig mere over at et så "gammelt" angreb som der er nogle der stater kan resultere i så højt CPU load at der ikke kommer trafik igennem, og leverandørene siger det ikke er noget problem.

Og sidst men ikke mindst husk det ikke er ALT ICMP trafik man bør blokere men primært code 3 type 3 (Det er et retur svar på en pakke der aldrig er sendt)

blot mine tanker :)

6
14. november 2016 kl. 21:31

Det ligner mest af alt et sørgeligt reklamefremstød for TDC Security, hvori man ridder med på bølgen med navngivning af "opdagelserne"..

5
14. november 2016 kl. 19:17

Den gode nyhed, bemærker The Register, er, at angrebet er trivielt at blokere ved simpelthen at droppe ICMP-trafik.

Hvis man bevidstløst blokerer al ICMP-trafik holder Path MTU Discovery op med at virke, så det er næppe nogen god løsning. Det vil give problemer i alle cases hvor MTU skal være mindre end de normale 1500 bytes (tænk tunnel-løsninger o.l.).

4
14. november 2016 kl. 16:23

Det er nok det flaget i min gamle routere, under firewall/DOS med titlen "block ping of dead" betyder. Er det ikke over samme hammel.

Nu sætter jeg mig ikke meget ind i dybden i firewall. har andet at bruge min "legetid" til. Så håber det er noget at producenten har styr på, sikkert også derfor eller af nogen andre, at jeg fik en mail om at der skal være styr på opdateringer i firewall, at der er kommet en ny version, og at der sker automatisk, hvis man har licens. Ellers skal man lige ind og gøre det selv.

3
14. november 2016 kl. 16:10

... er vi tilbage hvor vi begyndte. Dette er ingen nyhed. Det er velkendt at dette er muligt og i øvrigt veldokumenteret mange steder.

/Peter

2
14. november 2016 kl. 14:52

Det er næsten oplagt at det netop er den kontrolfunktion som forårsager den høje CPU belastning og deraf følgende DOS.

1
14. november 2016 kl. 14:32

Skulle en stateful inspection firewall (hvilket er den alle vel.) ikke automatisk droppe disse pakker, da der ikke er en tilsvarende udgående pakke, der besvares?