Flere populære firewalls indeholder en stump kode, der gør det muligt at sende udstyret i knæ med et særligt udformet ping. Det fortæller The Register, blandt andet på baggrund af en rapport fra danske TDC's Security Operations Center (PDF), som har kigget nærmere på angrebet.
Angrebsteknikken kan bruges mod firewalls fra Cisco, SonicWall, Zyxel og muligvis Palo Alto. Derudover kan andet udstyr også være påvirket.
»Påvirkningen, vi ser på forskellige firewalls, er typisk en høj CPU-belastning. Når angrebet pågår, så er brugere fra LAN-siden ikke længere i stand til at sende/modtage trafik til/fra internettet. Alle firewalls, vi har observeret, kommer sig, når angrebet stopper,« skriver TDC-holdet i rapporten.
Blacknurse gør brug af ICMP (Internet Control Message Protocol ( 'type 3, code 3'-pakker). Blandt andet gør værktøjet ping brug af echo-funktionen i ICMP.
Under normale omstændigheder vil en host modtage sådan en pakke som svar på en besked, hosten selv havde startet med. Men det er, bemærker The Register, trivielt at generere sådan en ICMP-pakke og sende den mod et mål.
Og på de enheder, der er sårbare over for Blacknurse, får styresystemet forstoppelse efter at have forsøgt at processere blot et mindre antal af disse beskeder.
Ifølge TDC-rapporten er det muligt at nedlægge en sårbar gigabit-enhed med så lidt som 18 Mbps Blacknurse-trafik sendt til WAN-interfacet.
Den gode nyhed, bemærker The Register, er, at angrebet er let at blokere ved simpelthen at droppe ICMP-trafik.
It-sikkerhedsvirksomheden Netresec har flere tekniske detaljer om angrebsteknikken.
