Атака BlackNurse: Як відключити міжмережевий екран за допомогою ноутбука і ICMP



Для проведення DoS-атак не завжди потрібні масштабні ботнети. Дослідники інформаційної безпеки описали атаку BlackNurse, в ході якої за допомогою одного ноутбука можна відключити міжмережеві екрани популярних виробників.

У чому проблема
Данські дослідники з відділу SOC (Security Operations Center) телеком-оператора TDC описали атаку BlackNurse, для здійснення якої використовується особливість обробки ICMP-запитів найпопулярнішими файрволлами.

В тексті опублікованого дослідження автори пишуть, що зіткнулися з проблемою при розробці власного рішення по боротьбі з DoS — у деяких випадках, незважаючи на невеликий обсяг вхідного трафіку і малого числа прийнятих пакетів, загальна швидкість роботи мережі сповільнювалася. Ефект спостерігався навіть для великих корпоративних клієнтів, що володіють каналами з великою пропускною здатністю і використовують дороге устаткування відомих вендорів.

В ході атаки використовуються повідомлення ICMP Type 3 «unreachable» — зокрема, повідомлення ICMP Type 3 Code 3 «port unreachable». З їх допомогою можна перевантажити процесор міжмережевого екрану, що призводить до відмови в обслуговуванні. Згідно з даними експерименту, за допомогою одного ноутбука подібним методом можна здійснити атаку потужністю 180 Мбіт/с.

У публікації експертів TDC не йдеться про те, чому ці пакети споживають так багато процесорного часу міжмережевих екранів, однак ІБ-експерт SANS Technology Institute Ханс Ульріх предположил, що справа може бути в спробі файрволла провести stateful-аналіз пакетів, яка потребує великої кількості ресурсів.

«На різних міжмережевих екранах навантаження збільшувалася в будь-якому випадку. У процесі здійснення атаки користувачі LAN, знаходиться за файрволом, втрачали можливість відправлення та отримання трафіку і з інтернету, після припинення атаки працездатність відновлювалася», — пишуть дослідники у своєму документі.

За даними експертів TDC, вразливі наступні продукти:

  • Cisco ASA 5506, 5515, 5525 (при використанні стандартних налаштувань)
  • Cisco ASA 5550 (legacy) and 5515-X (останнє покоління)
  • Cisco Router 897 (атаку можна відобразити)
  • SonicWall (проблема вирішується зміною стандартної конфігурації)
  • деякі Palo Alto
  • Zyxel NWA3560-N (бездротовий атака з боку LAN)
  • Zyxel Zywall USG50
Міжмережеві екрани, які працюють через iptables не піддаються атаці.

Як захиститися
Дізнатися, вразлива конкретна система, можна дозволивши ICMP на стороні WAN міжмережевого екрану і здійснити тест з допомогою Hping3, одночасно спробувавши здійснити підключення до інтернету з мережі. Можна використовувати наступні команди hping3:

hping3 -1 -C 3 -K 3 -i u20 <target ip>
hping3 -1 -C 3 -K 3 --flood <target ip>

Дослідники також представили правило SNORT IDS для детектування атаки BlackNurse:

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC – Possible BlackNurseattack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC –Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

Для мінімізації ризиків можуть бути використані різні способи. Зокрема, експерти рекомендують налаштувати на брандмауері екрані список довірених ресурсів, від яких приймаються ICMP-пакети. Крім того, має сенс відключити ICMP Type 3 Code 3 на стороні WAN.

Ускладнити проведення кібератак, запобігти масштабні витоки і пом'якшити наслідки інцидентів інформаційної безпеки можна з допомогою використання спеціалізованих засобів захисту — наприклад, за допомогою нового програмно-апаратного комплексу MaxPatrol SIEM.

З допомогою MaxPatrol SIEM можна аналізувати дані, отримані з МЕ, IPS\IDS систем або зібрані власним агентом Sensor Network — це дозволяє вчасно виявляти і сигналізувати про атаки на зразок BlackNurse. При цьому, якісне впровадження SIEM дозволяє добитися того, що один раз описавши логіку обаружения конкретної атаки, система зможе виявляти всі атаки даного класу, як зовні периметра, так і всередині найчастіше вкрай складних ієрархічно гетерогенних інфраструктурах.

Дізнатися про теорії і практики впровадження та експлуатації SIEM-систем на прикладі MaxPatrol можна буде 17 листопада о 14:00 на безкоштовному вебінарі Володимира Бенгина, керівника відділу підтримки продажів SIEM.

Зареєструватися для участі у вебінарі можна тут
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.