Duitse onderzoekers hebben een kwetsbaarheid ontdekt in internetprotocollen die in theorie honderdduizenden servers zou kunnen treffen. De kwetsbaarheid zet een ‘DoS-loop’ in gang die maar moeilijk te stoppen is.
Het CISPA Helmholtz Center uit de Duitse stad Saarbrücken waarschuwt voor een kwetsbaarheid die mogelijk veel slachtoffers kan maken. Enkele veelgebruikte internetprotocollen zijn vatbaar, waaronder NS, NTP, en TFTP, alsook een handvol oudere protocollen. Volgens de onderzoekers zouden wereldwijd 300.000 internethosts en gekoppelde netwerken kunnen getroffen worden, ook in Europa, al wordt de kwetsbaarheid voorlopig nog niet actief uitgebuit.
Vicieuze cirkel
De kwetsbaarheid wijkt af van traditionele DoS-aanvallen omdat het zich op de applicatielaag van de protocollen richt, in plaats van de netwerklaag. Het resultaat is een ononderbroken cirkel van DoS-aanvallen: netwerkservices worden op zo’n manier aan elkaar gekoppeld dat ze oneindig op elkaars foutberichten blijven reageren.
Hierdoor creëren ze grote hoeveelheden verkeer die resulteren in een denial of service voor betrokken systemen of netwerken. Eens de cirkel in gang gezet is, is die ook nog maar moeilijk te breken: zelfs een aanvaller zou de DoS-loop niet meer kunnen afstoppen, waarschuwen de onderzoekers.
Eenvoudig uit te buiten
Nu wordt de kwetsbaarheid nog niet actief uitgebuit, maar volgens de onderzoekers is dat niet zo moeilijk. De aanval is gebaseerd op IP-spoofing en een aanvaller hoeft maar één enkel foutbericht in een server te injecteren om de loop in gang te zetten. Vervolgens blijven ze foutberichten naar elkaar verzenden.
De onderzoekers roepen op tot dringende actie en gingen eind 2023 al met hun bevindingen langs bij vendoren van netwerkservers en -devices. Onder meer producten van Microsoft, Huawei, Broadcom, Cisco, D-Link, TP-Link en Zyxel zouden vatbaar zijn. Kijk uit naar updates van netwerkservices en voer deze zo snel mogelijk door. Via GitHub is ook code beschikbaar om potentieel kwetsbare IT-services te identificeren.