'Blacknurse'-angreb sender med forbavsende lidt trafik firewalls til tælling

Kode i flere firewalls gør det muligt at sende enhederne i knæ med relativt lidt trafik.

/jm Mandag, 14. november 2016 - 13:007

Flere populære firewalls indeholder en stump kode, der gør det muligt at sende udstyret i knæ med et særligt udformet ping. Det fortæller The Register, blandt andet på baggrund af en rapport fra danske TDC's Security Operations Center (PDF), som har kigget nærmere på angrebet.

Angrebsteknikken kan bruges mod firewalls fra Cisco, SonicWall, Zyxel og muligvis Palo Alto. Derudover kan andet udstyr også være påvirket.

»Påvirkningen, vi ser på forskellige firewalls, er typisk en høj CPU-belastning. Når angrebet pågår, så er brugere fra LAN-siden ikke længere i stand til at sende/modtage trafik til/fra internettet. Alle firewalls, vi har observeret, kommer sig, når angrebet stopper,« skriver TDC-holdet i rapporten.

Blacknurse gør brug af ICMP (Internet Control Message Protocol ( 'type 3, code 3'-pakker). Blandt andet gør værktøjet ping brug af echo-funktionen i ICMP.

Under normale omstændigheder vil en host modtage sådan en pakke som svar på en besked, hosten selv havde startet med. Men det er, bemærker The Register, trivielt at generere sådan en ICMP-pakke og sende den mod et mål.

Og på de enheder, der er sårbare over for Blacknurse, får styresystemet forstoppelse efter at have forsøgt at processere blot et mindre antal af disse beskeder.

Ifølge TDC-rapporten er det muligt at nedlægge en sårbar gigabit-enhed med så lidt som 18 Mbps Blacknurse-trafik sendt til WAN-interfacet.

Den gode nyhed, bemærker The Register, er, at angrebet er let at blokere ved simpelthen at droppe ICMP-trafik.

It-sikkerhedsvirksomheden Netresec har flere tekniske detaljer om angrebsteknikken.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (7)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

Claus Bobjerg Juul Mandag, 14. november 2016 - 14:32

Stateful inspection

Skulle en stateful inspection firewall (hvilket er den alle vel.) ikke automatisk droppe disse pakker, da der ikke er en tilsvarende udgående pakke, der besvares?

Jon Linde Mandag, 14. november 2016 - 14:52

Re: Stateful inspection

Det er næsten oplagt at det netop er den kontrolfunktion som forårsager den høje CPU belastning og deraf følgende DOS.

Peter Kruse Mandag, 14. november 2016 - 16:10

10 år senere

... er vi tilbage hvor vi begyndte. Dette er ingen nyhed. Det er velkendt at dette er muligt og i øvrigt veldokumenteret mange steder.

/Peter

Bent Jensen Mandag, 14. november 2016 - 16:23

Re: Stateful inspection

Det er nok det flaget i min gamle routere, under firewall/DOS med titlen "block ping of dead" betyder. Er det ikke over samme hammel.

Nu sætter jeg mig ikke meget ind i dybden i firewall. har andet at bruge min "legetid" til. Så håber det er noget at producenten har styr på, sikkert også derfor eller af nogen andre, at jeg fik en mail om at der skal være styr på opdateringer i firewall, at der er kommet en ny version, og at der sker automatisk, hvis man har licens. Ellers skal man lige ind og gøre det selv.

Yoel Caspersen Mandag, 14. november 2016 - 19:17 Blogger

Når en hammer er det eneste værktøj

Den gode nyhed, bemærker The Register, er, at angrebet er trivielt at blokere ved simpelthen at droppe ICMP-trafik.

Hvis man bevidstløst blokerer al ICMP-trafik holder Path MTU Discovery op med at virke, så det er næppe nogen god løsning. Det vil give problemer i alle cases hvor MTU skal være mindre end de normale 1500 bytes (tænk tunnel-løsninger o.l.).

Søren Rosiak Mandag, 14. november 2016 - 21:31

Reklamefremstød

Det ligner mest af alt et sørgeligt reklamefremstød for TDC Security, hvori man ridder med på bølgen med navngivning af "opdagelserne"..

Dennis Rand Tirsdag, 15. november 2016 - 10:56

Reklamefremstød eller ej

Det er interessant at læse kommentarer her da der må være nogen der har misforstået udfordringen.

Som der også er beskrevet på siden http://blacknurse.dk
ICMP ATTACK HISTORY

Jan 1997 - Ping of death
Type 8 Code 3.
Malformed ping packets Larger then 1500 Bytes - Normal was 65.536 bytes
Result: Crash, Reboot, Hangs and mixed results

April 1997 - Ping flodding
Type 8 Code 0
Normal ping packets sent very fast to systems.
You need more bandwidth than the victim.
Result: Consume enough of its CPU cycles for a user to notice a significant slowdown.

We invented firewalls to prevent stuff like this !

November 2016 – The Blacknurse Attack
Type 3 Code 3
Send NORMAL Destination Unreachable, Port Unreachable packets fast.
You do NOT need more bandwidth than the victim.
Result: High CPU. Users from LAN-side can’t surf the Internet.

Jeg mener ikke det er reklamefremstød eller gamle nyheder når nye dyre firewall i 2016 kan lægges ned af så simpelt og trivielt angreb. Jeg mener heller ikke det er reklamefremstød når denne type angreb er set flere gange med stor success inden for de seneste år.

Jeg undre mig mere over at et så "gammelt" angreb som der er nogle der stater kan resultere i så højt CPU load at der ikke kommer trafik igennem, og leverandørene siger det ikke er noget problem.

Og sidst men ikke mindst husk det ikke er ALT ICMP trafik man bør blokere men primært code 3 type 3 (Det er et retur svar på en pakke der aldrig er sendt)

blot mine tanker :)

Log ind eller Opret konto for at kommentere