Ataque BlackNurse transforma um único laptop em uma poderosa máquina de derrubar servidores

Sempre que ouvimos falar sobre um Ataque de Negação de Serviço Distribuído (DDoS), pensamos que milhares, senão milhões, de computadores zumbis ou dispositivos conectados da Internet das Coisas (como mostra o recente caso da Dyn) estavam efetivamente enviando enormes pacotes de dados para derrubar o site ou serviço em questão. Geralmente se assume que ferramentas ou estressores DDoS, como são conhecidos, precisam de milhares de zumbis para realizar um ataque maciço que pode derrubar um site protegido contra DDoS. No entanto, novas pesquisas provam que um novo ataque usa um ÚNICO laptop para realizar um ataque DDoS massivo que pode derrubar um servidor altamente protegido offline.

Pesquisadores de segurança do Centro de Operações de Segurança da TDC, com sede na Dinamarca, apelidaram a nova técnica de ataque de BlackNurse. O ataque BlackNurse utiliza recursos muito limitados para derrubar grandes servidores offline quando estão protegidos por certos firewalls fabricados pela Cisco Systems e outros fabricantes.

O ataque BlackNurse facilita para os cibercriminosos a montagem de um simples ataque de negação de serviço contra um site usando apenas 15 megabits, ou cerca de 40.000 pacotes por segundo, para interromper a conexão à Internet de servidores vulneráveis. Imagine o que o ataque BlackNurse poderia ter feito se tivesse sido usado no recente ataque à Dyn. Para colocar as coisas em perspectiva, os hackers desconhecidos que derrubaram toda a Internet no Meio-Oeste e na Costa Leste dos Estados Unidos em 21 de outubro aparentemente usaram botnets de IoT e enviaram pacotes de dados inúteis de 1 Terabyte por segundo para causar estragos e derrubar serviços como Reddit, Twitter, Spotify, etc.

Em um post no blog publicado na quarta-feira, os pesquisadores escreveram:

O ataque BlackNurse chamou nossa atenção, porque em nossa solução anti-DDoS experimentamos que, mesmo que a velocidade do tráfego e os pacotes por segundo fossem muito baixos, esse ataque poderia manter as operações de nossos clientes offline. Isso se aplicou até mesmo a clientes com grandes uplinks de internet e grandes firewalls empresariais em funcionamento. Esperávamos que equipamentos de firewall profissionais fossem capazes de lidar com o ataque.

Tabela de Conteúdos

• Como o BlackNurse usa um único laptop para montar um ataque DDoS massivo
• Medos sobre o ataque BlackNurse
• Mitigação contra o ataque BlackNurse

Como o BlackNurse usa um único laptop para montar um ataque DDoS massivo

Os pesquisadores descobriram que o ataque BlackNurse utiliza a falha de mensagem do Protocolo de Controle de Mensagens da Internet, que roteadores e outros dispositivos de rede usam para enviar e receber mensagens de erro. Como não há proteção ou limite para o envio ou recebimento de tais mensagens ICMP, o ataque BlackNurse aproveita isso enviando um tipo especial de pacotes ICMP—especificamente pacotes ICMP do Tipo 3 com um código de 3, que os hackers podem usar para sobrecarregar CPUs e servidores protegidos por firewalls da Cisco e de outras empresas.

Durante sua pesquisa, descobriram que, após atingir um limite de 15 Mbps a 18 Mbps, os firewalls alvo descartam tantos pacotes que o servidor fica offline.

Usando os mesmos pacotes ICMP ineficazes, os pesquisadores realizaram um ataque BlackNurse usando um ÚNICO LAPTOP, enviando apenas 180 Mbps e derrubaram um servidor.

Não importa se você tem uma conexão de Internet de 1 Gbit/s. O impacto que vemos em diferentes firewalls é tipicamente altas cargas de CPU. Quando um ataque está em andamento, os usuários do [site da rede local] não poderão mais enviar/receber tráfego para/de a Internet. Todos os firewalls que vimos se recuperam quando o ataque para.

Medos sobre o ataque BlackNurse

O preocupante é que os pesquisadores descobriram que o ataque BlackNurse estava sendo usado na prática. Eles já descobriram cerca de 95 ataques DDoS desse tipo nos últimos dois anos. O relatório não disse se os ataques ICMP eram baseados no recém-descoberto ataque BlackNurse ou em um ataque ICMP previamente conhecido que entrega pacotes do Tipo 8 com um código de 0.

Mitigação contra o ataque BlackNurse

De acordo com pesquisadores da Netresec, uma empresa de segurança que colaborou com a TDC Security na pesquisa, o ataque funciona apenas contra servidores que usam firewalls da Cisco Systems, Palo Alto Networks, SonicWall e Zyxel. Os pesquisadores forneceram os modelos específicos que são vulneráveis ao ataque BlackNurse neste post do blog. A Palo Alto Networks emitiu seu

Um dos fabricantes de firewall afetados, a Palo Alto Networks, emitiu seu próprio aviso que relata que os dispositivos da empresa são vulneráveis apenas em “cenários muito específicos, não padrão, que contrariam as melhores práticas.”

Surpreendentemente, a Cisco não considera o ataque BlackNurse como um problema de segurança, embora não tenha justificado o porquê. O Instituto Sans tem seu próprio breve resumo do ataque aqui.