El ataque BlackNurse convierte una sola laptop en una poderosa máquina asesina de servidores

Siempre que escuchamos sobre un Ataque Distribuido de Denegación de Servicio (DDoS), pensamos que miles, si no millones, de computadoras zombie o dispositivos conectados de Internet de las Cosas (como muestra el último caso de Dyn) estaban enviando efectivamente enormes paquetes de datos para colapsar el sitio web o servicio en particular. Se asume generalmente que las herramientas DDoS o estresadores, como se les conoce, necesitan miles de zombies para llevar a cabo un ataque masivo que pueda derribar un sitio web protegido contra DDoS. Sin embargo, nuevas investigaciones demuestran que un nuevo ataque utiliza una SOLA laptop para llevar a cabo un ataque DDoS masivo que puede derribar un servidor altamente protegido.

Investigadores de seguridad del Centro de Operaciones de Seguridad TDC, con sede en Dinamarca, han denominado a la nueva técnica de ataque BlackNurse. El ataque BlackNurse utiliza recursos muy limitados para derribar grandes servidores cuando están protegidos por ciertos cortafuegos fabricados por Cisco Systems y otros fabricantes.

El ataque BlackNurse facilita a los criminales cibernéticos montar un simple ataque de denegación de servicio contra un sitio web utilizando tan solo 15 megabits, o aproximadamente 40,000 paquetes por segundo, para interrumpir la conexión a Internet de los servidores vulnerables. Imagina lo que el ataque BlackNurse podría haber hecho si se hubiera utilizado en el reciente ataque a Dyn. Para poner las cosas en perspectiva, los hackers desconocidos que derribaron toda la Internet en el Medio Oeste y el Este de Estados Unidos el 21 de octubre aparentemente utilizaron botnets de IoT y enviaron paquetes de datos inútiles de 1 Terabyte por segundo para causar estragos y derribar servicios como Reddit, Twitter, Spotify, etc.

En una publicación de blog publicada el miércoles, los investigadores escribieron:

El ataque BlackNurse atrajo nuestra atención, porque en nuestra solución anti-DDoS experimentamos que, aunque la velocidad del tráfico y los paquetes por segundo eran muy bajos, este ataque podía mantener las operaciones de nuestros clientes inactivas. Esto incluso se aplicó a clientes con grandes enlaces de Internet y grandes cortafuegos empresariales en su lugar. Esperábamos que el equipo de cortafuegos profesional pudiera manejar el ataque.

Tabla de Contenidos

• Cómo utiliza BlackNurse una sola laptop para montar un ataque DDoS masivo
• Temores sobre el ataque BlackNurse
• Mitigación contra el ataque BlackNurse

Cómo utiliza BlackNurse una sola laptop para montar un ataque DDoS masivo

Los investigadores descubrieron que el ataque BlackNurse utiliza el agujero de mensaje del Protocolo de Control de Mensajes de Internet, que los enrutadores y otros dispositivos de red utilizan para enviar y recibir mensajes de error. Dado que no hay protección o límite para el envío o recepción de tales mensajes ICMP, el ataque BlackNurse lo aprovecha enviando un tipo especial de paquetes ICMP—específicamente paquetes ICMP de Tipo 3 con un código de 3 que los hackers pueden usar para generar una carga no deseada en las CPU y servidores protegidos por cortafuegos de Cisco y otras empresas.

Durante su investigación, descubrieron que después de alcanzar un umbral de 15 Mbps a 18 Mbps, los cortafuegos objetivo desechan tantos paquetes que el servidor se queda fuera de línea.

Usando los mismos paquetes ICMP defectuosos, los investigadores llevaron a cabo un ataque BlackNurse utilizando una SOLA LAPTOP enviando solo 180 Mbps y derribaron un servidor.

No importa si tienes una conexión a Internet de 1 Gbit/s. El impacto que vemos en diferentes cortafuegos es típicamente altas cargas de CPU. Cuando un ataque está en curso, los usuarios del [sitio de red local] ya no podrán enviar/recibir tráfico hacia/desde Internet. Todos los cortafuegos que hemos visto se recuperan cuando el ataque se detiene.

Temores sobre el ataque BlackNurse

Lo preocupante es que los investigadores descubrieron que el ataque BlackNurse se estaba utilizando en el mundo real. Ya han descubierto alrededor de 95 ataques DDoS de este tipo en los últimos dos años. El informe no dijo si los ataques ICMP se basaban en el recién descubierto ataque BlackNurse o en un ataque ICMP previamente conocido que entrega paquetes de Tipo 8 con un código de 0.

Mitigación contra el ataque BlackNurse

Según los investigadores de Netresec, una firma de seguridad que colaboró con TDC Security en la investigación, el ataque solo funciona contra servidores que utilizan cortafuegos de Cisco Systems, Palo Alto Networks, SonicWall y Zyxel. Los investigadores han proporcionado los modelos específicos que son vulnerables al ataque BlackNurse en esta publicación de blog. Palo Alto Networks ha emitido su

Uno de los fabricantes de cortafuegos afectados, Palo Alto Networks, ha emitido su propio aviso que informa que los dispositivos de la empresa son vulnerables solo en “escenarios muy específicos y no predeterminados que contravienen las mejores prácticas.”

Sorprendentemente, Cisco no considera el ataque BlackNurse como un problema de seguridad, aunque no ha justificado por qué. El Instituto Sans tiene su propio breve resumen del ataque aquí.