La técnica recién descubierta permite lanzar un ataque de denegación de servicio basado en bucles entre dos aplicaciones de red, bloqueando indefinidamente el acceso legítimo a sus respectivos servidores. El ataque se dirige a la capa de aplicación en sistemas que utilizan el Protocolo de datagramas de usuario (UDP), un protocolo de seguridad de la capa de transporte (TLS) vulnerable que, debido a su naturaleza sin conexión, carece inherentemente de verificación de solicitudes. “Los ataques DoS basados en bucles en la capa de aplicación se basan en la suplantación de IP y pueden activarse desde un único host que pueda suplantar la dirección IP”, dijo el centro de investigación de ciberseguridad alemán CISPA (Helmholtz Center for Information Security, CISPA), que hizo el descubrimiento. En un blog"Estos ataques combinan dos servicios de red de tal manera que continúan respondiendo indefinidamente a los mensajes del otro. La capa de aplicación es la capa conceptual más alta de un sistema de comunicaciones típico, que también incluye, en ese orden, las capas física, de enlace de datos, de red, de transporte, de sesión y de presentación.
Un protocolo más rápido, pero menos seguro
El protocolo de capa de transporte UDP es responsable de transportar paquetes de datos a través de sistemas de red que se comunican mediante protocolos de capa de aplicación. Diseñado específicamente para transmisiones sensibles al tiempo, como reproducción de video o búsquedas de DNS, UDP opera según el principio sin conexión, lo que significa que puede transferir datos sin establecer una conexión entre los sistemas involucrados. La transmisión más rápida a veces es una compensación riesgosa, ya que la naturaleza inherente de UDP puede provocar que se pierdan datos en tránsito o, en este caso, permitir que los atacantes realicen ataques DDoS. La vulnerabilidad inherente en UDP se enumera en CVE-2024-2169"Las implementaciones del protocolo de aplicación UDP son vulnerables a los bucles de red", según la Base de datos de vulnerabilidades nacionales (NVD) del Instituto Nacional de Estándares y Tecnología (NIST). "Un atacante no autenticado puede usar paquetes maliciosos contra una implementación vulnerable, lo que podría resultar en una condición de denegación de servicio (DOS) y/o abuso de recursos".
Los investigadores de CISPA explicaron que el bucle de ataque puede iniciarse enviando un único mensaje de error con una dirección IP suplantada a cualquiera de los dos servidores que han fallado. “Los servidores vulnerables seguirían enviándose mensajes de error entre sí, lo que pondría a prueba a ambos servidores y cualquier conexión de red entre ellos”, escribieron los investigadores en su entrada de blog. “Una vez que se inyecta un disparador y el bucle está en marcha, ni siquiera los atacantes pueden detener el ataque”, según la entrada del blog. La vulnerabilidad afecta a protocolos heredados como Daytime, Time, Active Users, Echo, Chargen y QOTD, así como a protocolos de capa de aplicación contemporáneos como TFTP, DNS y NTP.
Cambiar a TCP puede ayudar
Aunque hasta la fecha no se conocen casos de explotación de esta vulnerabilidad, CISPA advierte de que podría afectar a casi 300.000 hosts de Internet y las redes que estos exponen. “Sin embargo, hasta donde sabemos, este tipo de ataque aún no se ha llevado a cabo en el campo. Sin embargo, sería fácil para los atacantes explotar esta vulnerabilidad si no se toman medidas para mitigar el riesgo”, dijo Christian Rossow, uno de los investigadores de CISPA que hizo el descubrimiento, en la publicación del blog. Aunque es más lento que el UDP, el Protocolo de Control de Transmisión (TCP) es un protocolo de capa de transporte más confiable que establece una conexión entre sistemas solo después de una verificación automática llamada “apretón de manos” entre los sistemas afectados. Agregar una capa adicional de validación de consultas a las transmisiones UDP o reemplazarlas por completo con implementaciones TCP puede ayudar a prevenir la explotación de esta vulnerabilidad.
Otras noticias que te pueden interesar