L'attacco BlackNurse trasforma un singolo laptop in una potente macchina killer per server

Ogni volta che sentiamo parlare di un attacco Distributed Denial of Service (DDoS), pensiamo che migliaia, se non milioni, di computer zombie o dispositivi connessi all’Internet delle Cose (come dimostra il recente caso di Dyn) stessero effettivamente inviando enormi pacchetti di dati per far crollare un particolare sito web o servizio. Si presume generalmente che gli strumenti DDoS o stressers, come vengono chiamati, abbiano bisogno di migliaia di zombie per condurre un attacco massiccio in grado di abbattere un sito web protetto da DDoS. Tuttavia, nuove ricerche dimostrano che un nuovo attacco utilizza un SINGOLO laptop per condurre un massiccio attacco DDoS che può mettere offline un server altamente protetto.

I ricercatori di sicurezza del TDC Security Operations Center, con sede in Danimarca, hanno battezzato la nuova tecnica di attacco BlackNurse. L’attacco BlackNurse utilizza risorse molto limitate per mettere offline grandi server quando sono protetti da determinati firewall prodotti da Cisco Systems e altri produttori.

L’attacco BlackNurse rende più facile per i criminali informatici montare un semplice attacco di negazione del servizio contro un sito web utilizzando solo 15 megabit, o circa 40.000 pacchetti al secondo, per interrompere la connessione Internet dei server vulnerabili. Immagina cosa avrebbe potuto fare l’attacco BlackNurse se fosse stato utilizzato nel recente attacco a Dyn. Per mettere le cose in prospettiva, gli hacker sconosciuti che hanno messo offline l’intero Internet nel Midwest e negli Stati Uniti orientali il 21 ottobre hanno apparentemente utilizzato botnet IoT e inviato pacchetti di dati inutili di 1 Terabyte al secondo per seminare il caos e mettere offline servizi come Reddit, Twitter, Spotify, ecc.

In un post sul blog pubblicato mercoledì, i ricercatori hanno scritto:

L’attacco BlackNurse ha attirato la nostra attenzione, perché nella nostra soluzione anti-DDoS abbiamo riscontrato che, anche se la velocità del traffico e i pacchetti al secondo erano molto bassi, questo attacco poteva mantenere le operazioni dei nostri clienti offline. Questo si applicava anche ai clienti con grandi uplink Internet e grandi firewall aziendali in atto. Ci aspettavamo che l’attrezzatura firewall professionale fosse in grado di gestire l’attacco.

Indice dei contenuti

• Come fa BlackNurse a utilizzare un singolo laptop per montare un massiccio attacco DDoS
• Paure riguardo all’attacco BlackNurse
• Mitigazione contro l’attacco BlackNurse

Come fa BlackNurse a utilizzare un singolo laptop per montare un massiccio attacco DDoS

I ricercatori hanno scoperto che l’attacco BlackNurse utilizza il loophole del messaggio del Protocollo di Controllo dei Messaggi Internet, che i router e altri dispositivi di rete utilizzano per inviare e ricevere messaggi di errore. Poiché non c’è protezione o limite all’invio o alla ricezione di tali messaggi ICMP, l’attacco BlackNurse lo sfrutta inviando un tipo speciale di pacchetti ICMP—specificamente pacchetti ICMP di Tipo 3 con un codice di 3 che gli hacker possono utilizzare per portare un carico indesiderato su CPU e server protetti da firewall Cisco e di altre aziende.

Durante la loro ricerca, hanno scoperto che dopo aver raggiunto una soglia di 15 Mbps a 18 Mbps, i firewall mirati scartano così tanti pacchetti che il server viene messo offline.

Utilizzando gli stessi pacchetti ICMP difettosi, i ricercatori hanno condotto un attacco BlackNurse utilizzando un SINGOLO LAPTOP inviando solo 180 Mbps e hanno messo offline un server.

Non importa se hai una connessione Internet di 1 Gbit/s. L’impatto che vediamo su diversi firewall è tipicamente un alto carico della CPU. Quando un attacco è in corso, gli utenti del sito [rete locale] non saranno più in grado di inviare/ricevere traffico verso/da Internet. Tutti i firewall che abbiamo visto si riprendono quando l’attacco si ferma.

Paure riguardo all’attacco BlackNurse

La cosa preoccupante è che i ricercatori hanno scoperto che l’attacco BlackNurse era già in uso nel mondo reale. Hanno già scoperto circa 95 di questi attacchi DDoS negli ultimi due anni. Il rapporto non ha specificato se gli attacchi ICMP si basassero sul nuovo attacco BlackNurse scoperto o su un attacco ICMP precedentemente noto che consegna pacchetti di Tipo 8 con un codice di 0.

Mitigazione contro l’attacco BlackNurse

Secondo i ricercatori di Netresec, una società di sicurezza che ha collaborato con TDC Security nella ricerca, l’attacco funziona solo contro server che utilizzano firewall di Cisco Systems, Palo Alto Networks, SonicWall e Zyxel. I ricercatori hanno fornito i modelli specifici vulnerabili all’attacco BlackNurse in questo post sul blog. Palo Alto Networks ha emesso il proprio

Uno dei produttori di firewall colpiti, Palo Alto Networks, ha emesso il proprio avviso che riporta che i dispositivi dell’azienda sono vulnerabili solo in “scenari molto specifici e non predefiniti che contravvengono alle migliori pratiche.”

Cisco sorprendentemente non considera l’attacco BlackNurse un problema di sicurezza, anche se non ha giustificato il perché. Il Sans Institute ha il proprio breve scritto sull’attacco qui.