'Blacknurse'-angreb sender med forbavsende lidt trafik firewalls til tælling

14. november 2016 kl. 13:007
Kode i flere firewalls gør det muligt at sende enhederne i knæ med relativt lidt trafik.
person
/jm
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
/jm

Flere populære firewalls indeholder en stump kode, der gør det muligt at sende udstyret i knæ med et særligt udformet ping. Det fortæller The Register, blandt andet på baggrund af en rapport fra danske TDC's Security Operations Center (PDF), som har kigget nærmere på angrebet.

Angrebsteknikken kan bruges mod firewalls fra Cisco, SonicWall, Zyxel og muligvis Palo Alto. Derudover kan andet udstyr også være påvirket.

»Påvirkningen, vi ser på forskellige firewalls, er typisk en høj CPU-belastning. Når angrebet pågår, så er brugere fra LAN-siden ikke længere i stand til at sende/modtage trafik til/fra internettet. Alle firewalls, vi har observeret, kommer sig, når angrebet stopper,« skriver TDC-holdet i rapporten.

Blacknurse gør brug af ICMP (Internet Control Message Protocol ( 'type 3, code 3'-pakker). Blandt andet gør værktøjet ping brug af echo-funktionen i ICMP.

Artiklen fortsætter efter annoncen

Under normale omstændigheder vil en host modtage sådan en pakke som svar på en besked, hosten selv havde startet med. Men det er, bemærker The Register, trivielt at generere sådan en ICMP-pakke og sende den mod et mål.

Og på de enheder, der er sårbare over for Blacknurse, får styresystemet forstoppelse efter at have forsøgt at processere blot et mindre antal af disse beskeder.

Ifølge TDC-rapporten er det muligt at nedlægge en sårbar gigabit-enhed med så lidt som 18 Mbps Blacknurse-trafik sendt til WAN-interfacet.

Den gode nyhed, bemærker The Register, er, at angrebet er let at blokere ved simpelthen at droppe ICMP-trafik.

It-sikkerhedsvirksomheden Netresec har flere tekniske detaljer om angrebsteknikken.

Emner
7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
Dennis Rand
15. november 2016 kl. 10:56

Det er interessant at læse kommentarer her da der må være nogen der har misforstået udfordringen.

Som der også er beskrevet på siden http://blacknurse.dkICMP ATTACK HISTORY

Jan 1997 - Ping of death Type 8 Code 3. Malformed ping packets Larger then 1500 Bytes - Normal was 65.536 bytes Result: Crash, Reboot, Hangs and mixed results

April 1997 - Ping flodding Type 8 Code 0 Normal ping packets sent very fast to systems. You need more bandwidth than the victim. Result: Consume enough of its CPU cycles for a user to notice a significant slowdown.

We invented firewalls to prevent stuff like this !

November 2016 – The Blacknurse Attack Type 3 Code 3 Send NORMAL Destination Unreachable, Port Unreachable packets fast. You do NOT need more bandwidth than the victim. Result: High CPU. Users from LAN-side can’t surf the Internet.

Jeg mener ikke det er reklamefremstød eller gamle nyheder når nye dyre firewall i 2016 kan lægges ned af så simpelt og trivielt angreb. Jeg mener heller ikke det er reklamefremstød når denne type angreb er set flere gange med stor success inden for de seneste år.

Jeg undre mig mere over at et så "gammelt" angreb som der er nogle der stater kan resultere i så højt CPU load at der ikke kommer trafik igennem, og leverandørene siger det ikke er noget problem.

Og sidst men ikke mindst husk det ikke er ALT ICMP trafik man bør blokere men primært code 3 type 3 (Det er et retur svar på en pakke der aldrig er sendt)

blot mine tanker :)

  • more_vert
    • insert_linkKopier link
6
Søren Rosiak
14. november 2016 kl. 21:31

Det ligner mest af alt et sørgeligt reklamefremstød for TDC Security, hvori man ridder med på bølgen med navngivning af "opdagelserne"..

  • more_vert
    • insert_linkKopier link
5
Yoel Caspersen
14. november 2016 kl. 19:17

Den gode nyhed, bemærker The Register, er, at angrebet er trivielt at blokere ved simpelthen at droppe ICMP-trafik.

Hvis man bevidstløst blokerer al ICMP-trafik holder Path MTU Discovery op med at virke, så det er næppe nogen god løsning. Det vil give problemer i alle cases hvor MTU skal være mindre end de normale 1500 bytes (tænk tunnel-løsninger o.l.).

  • more_vert
    • insert_linkKopier link
4
Bent Jensen
14. november 2016 kl. 16:23

Det er nok det flaget i min gamle routere, under firewall/DOS med titlen "block ping of dead" betyder. Er det ikke over samme hammel.

Nu sætter jeg mig ikke meget ind i dybden i firewall. har andet at bruge min "legetid" til. Så håber det er noget at producenten har styr på, sikkert også derfor eller af nogen andre, at jeg fik en mail om at der skal være styr på opdateringer i firewall, at der er kommet en ny version, og at der sker automatisk, hvis man har licens. Ellers skal man lige ind og gøre det selv.

  • more_vert
    • insert_linkKopier link
3
Peter Kruse
14. november 2016 kl. 16:10

... er vi tilbage hvor vi begyndte. Dette er ingen nyhed. Det er velkendt at dette er muligt og i øvrigt veldokumenteret mange steder.

/Peter

  • more_vert
    • insert_linkKopier link
2
Jon Linde
14. november 2016 kl. 14:52

Det er næsten oplagt at det netop er den kontrolfunktion som forårsager den høje CPU belastning og deraf følgende DOS.

  • more_vert
    • insert_linkKopier link
1
Claus Bobjerg Juul
14. november 2016 kl. 14:32

Skulle en stateful inspection firewall (hvilket er den alle vel.) ikke automatisk droppe disse pakker, da der ikke er en tilsvarende udgående pakke, der besvares?

  • more_vert
    • insert_linkKopier link