Атака BlackNurse: Как отключить межсетевой экран с помощью ноутбука и ICMP
Для проведения DoS-атак не всегда требуются масштабные ботнеты. Исследователи информационной безопасности описали атаку BlackNurse, в ходе которой с помощью одного ноутбука можно отключить межсетевые экраны популярных производителей.
В чем проблема
Датские исследователи из отдела SOC (Security Operations Center) телеком-оператора TDC описали атаку BlackNurse, для осуществления которой используется особенность обработки ICMP-запросов популярными файрволлами.
В тексте опубликованного исследования авторы пишут, что столкнулись с проблемой при разработке собственного решения по борьбе с DoS — в некоторых случаях, несмотря на небольшой объём входящего трафика и малого числа принимаемых пакетов, общая скорость работы сети замедлялась. Эффект наблюдался даже для крупных корпоративных клиентов, обладающих каналами с большой пропускной способностью и использующих дорогостоящее оборудование известных вендоров.
В ходе атаки используются сообщения ICMP Type 3 «unreachable» — в частности, сообщение ICMP Type 3 Code 3 «port unreachable». С их помощью можно перегрузить процессор межсетевого экрана, что приводит к отказу в обслуживании. Согласно данным эксперимента, с помощью одного ноутбука подобным методом можно осуществить атаку мощностью 180 Мбит/с.
В публикации экспертов TDC не говорится о том, почему эти пакеты потребляют так много процессорного времени межсетевых экранов, однако ИБ-эксперт SANS Technology Institute Ханс Ульрих предположил, что дело может быть в попытке файрволла провести stateful-анализ пакетов, которая требует большого количества ресурсов.
«На разных межсетевых экранах нагрузка увеличивалась в любом случае. В процессе осуществления атаки пользователи LAN, находящейся за файрволом, теряли возможность отправки и получения трафика в и из интернета, после прекращения атаки работоспособность восстанавливалась», — пишут исследователи в своем документе.
По данным экспертов TDC, уязвимы следующие продукты:
- Cisco ASA 5506, 5515, 5525 (при использовании стандартных настроек)
- Cisco ASA 5550 (legacy) and 5515-X (последнее поколение)
- Cisco Router 897 (атаку можно отразить)
- SonicWall (проблема решается изменением стандартной конфигурации)
- некоторые Palo Alto
- Zyxel NWA3560-N (беспроводная атака со стороны LAN)
- Zyxel Zywall USG50
Межсетевые экраны, работающие через iptables не подвержены атаке.
Как защититься
Узнать, уязвима ли конкретная система, можно разрешив ICMP на стороне WAN межсетевого экрана и осуществить тест с помощью Hping3, одновременно попробовав осуществить подключение к интернету из сети. Можно использовать следующие команды hping3:
hping3 -1 -C 3 -K 3 -i u20
hping3 -1 -C 3 -K 3 --flood
Исследователи также представили правило SNORT IDS для детектирования атаки BlackNurse:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC – Possible BlackNurseattack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)
alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC –Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)
Для минимизации рисков могут быть использованы различные способы. В частности, эксперты рекомендуют настроить на межсетевом экране список доверенных ресурсов, от которых принимаются ICMP-пакеты. Кроме того, имеет смысл отключить ICMP Type 3 Code 3 на стороне WAN.
Затруднить проведение кибератак, предотвратить масштабные утечки и смягчить последствия инцидентов информационной безопасности можно с помощью использования специализированных средств защиты — например, при помощи нового программно-аппаратного комплекса MaxPatrol SIEM.
С помощью MaxPatrol SIEM можно анализировать данные, полученные с МЭ, IPS\IDS систем или собранные собственным агентом Network Sensor — это позволяет вовремя обнаруживать и сигнализировать об атаках вроде BlackNurse. При этом, качественное внедрение SIEM позволяет добиться того, что один раз описав логику обаружения конкретной атаки, система сможет выявлять все атаки данного класса, как снаружи периметра, так и внутри на зачастую крайне сложных иерархически гетерогенных инфраструктурах.
Узнать о теории и практике внедрения и эксплуатации SIEM-систем на примере MaxPatrol можно будет 17 ноября в 14:00 на бесплатном вебинаре Владимира Бенгина, руководителя отдела поддержки продаж SIEM.
Зарегистрироваться для участия в вебинаре можно здесь
Комментарии (4)
15 ноября 2016 в 22:59 (комментарий был изменён)
+1↑
↓
Стал замечать, что в последнее время таких статей в интернете все больше, разработчик в погоне за защитой от серьезных атак, забывают о таких с одной стороны незначительных деталях, но все же очень обидных.16 ноября 2016 в 00:13
0↑
↓
Забыли указать, что регистрация не означает того, что вы вышлете ссылку на вебинар после регистрации.16 ноября 2016 в 01:23
–1↑
↓
Тоже мне, открыли Америку.
Любой сетевой инженер должен знать что ICMP пакеты типа «unreachable» обрабатываются/генерируются роутером в «software mode». Поэтому на нормальном железе есть настройки где можно задать лимит на количество таких пакетов в секунду, что-бы не нагружать процессор.16 ноября 2016 в 01:58
0↑
↓
Только вот включение безопасных настроек по умолчанию со всеми лимитами на базе заведомо известных мощностей продукта — в зоне ответственности производителя.