Ein neuartiger Denial-of-Service-Angriffsvektor (DoS), der Anwendungsprotokolle auf Basis des User Datagram Protocol (UDP) ins Visier nimmt, birgt Risiken für hunderttausende Hosts.

Dieser Angriff, bekannt als Loop DoS-Attacke, koppelt „Server dieser Protokolle auf eine Weise, dass sie unendlich miteinander kommunizieren“, so Forscher des CISPA Helmholtz-Zentrums für Informationssicherheit.

UDP ist von Natur aus ein verbindungsloses Protokoll, das Quell-IP-Adressen nicht validiert, was es anfällig für IP-Spoofing macht. Angreifer können daher mehrere UDP-Pakete so fälschen, dass sie eine Opfer-IP-Adresse enthalten, woraufhin der Zielserver auf das Opfer (statt auf den Angreifer) antwortet und so einen reflektierten DoS-Angriff erzeugt.

Die Studie zeigte, dass bestimmte Implementierungen des UDP-Protokolls, wie DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD und Time, für einen sich selbst aufrechterhaltenden Angriffsloop missbraucht werden können.

„Es paart zwei Netzwerkdienste so, dass sie unendlich aufeinander antworten“, erklärten die Forscher. „Dadurch entsteht ein hohes Datenaufkommen, das zu einem Dienstausfall für betroffene Systeme oder Netzwerke führt. Nachdem ein Auslöser gesetzt und der Loop in Gang gesetzt wurde, können selbst die Angreifer den Angriff nicht stoppen.“

Einfach ausgedrückt: Ein Angreifer kann mit einem der beiden anfälligen Applikationsserver kommunizieren, indem er die Adresse des zweiten Servers vortäuscht, was dazu führt, dass der erste Server mit einer Fehlermeldung auf das Opfer (den zweiten Server) antwortet.

Das Opfer verhält sich ähnlich und sendet eine weitere Fehlermeldung an den ersten Server zurück, wodurch sich beide Server gegenseitig ihre Ressourcen erschöpfen und unansprechbar machen.

„Wenn ein Fehler als Eingabe einen Fehler als Ausgabe erzeugt und ein zweites System sich gleich verhält, werden diese beiden Systeme unendlich Fehlermeldungen hin und her senden“, erklärten Yepeng Pan und Christian Rossow.

Laut CISPA können schätzungsweise 300.000 Hosts und ihre Netzwerke missbraucht werden, um Loop DoS-Angriffe durchzuführen.

Obwohl es derzeit keine Beweise dafür gibt, dass der Angriff in freier Wildbahn ausgenutzt wurde, warnen die Forscher, dass die Ausnutzung trivial ist und mehrere Produkte von Broadcom, Cisco, Honeywell, Microsoft, MikroTik und Zyxel betroffen sind.

„Angreifer benötigen nur einen einzigen Spoofing-fähigen Host, um Loops auszulösen“, merkten die Forscher an. „Daher ist es wichtig, Initiativen zur Filterung von gefälschtem Verkehr, wie BCP38, beizubehalten.“