Fraquezas na implementação do protocolo TCP em middleboxes e infraestrutura de censura podem ser transformadas em arma como um vetor para encenar ataques de amplificação de negação de serviço (DoS) contra qualquer alvo, superando muitos dos fatores de amplificação baseados em UDP existentes até o momento.
Detalhado por um grupo de acadêmicos da Universidade de Maryland e da Universidade de Colorado Boulder no Simpósio de Segurança USENIX, os ataques volumétricos tiram proveito de middleboxes de rede em não conformidade com TCP, como firewalls, sistemas de prevenção de intrusão e pacotes profundos de caixas de inspeção (DPI) para amplificar o tráfego de rede, com centenas de milhares de endereços IP oferecendo fatores de amplificação que excedem os de DNS, NTP e Memcached.
A pesquisa, que recebeu o prêmio Distinguished Paper na conferência é a primeira de seu tipo a descrever uma técnica para realizar ataques de amplificação refletida de DDoS sobre o protocolo TCP abusando de configurações incorretas de middlebox, um método anteriormente considerado eficaz na prevenção de tais ataques de spoofing.
Ataques de amplificação refletida são um tipo de ataques DoS em que um adversário aproveita a natureza sem conexão do protocolo UDP com solicitações falsificadas para servidores abertos configurados incorretamente, a fim de sobrecarregar um servidor ou rede alvo com uma enxurrada de pacotes, causando interrupção ou renderizando o servidor e sua infraestrutura circundante inacessível. Isso geralmente ocorre quando a resposta do serviço vulnerável é maior do que a solicitação falsificada, que pode então ser aproveitada para enviar milhares dessas solicitações, ampliando significativamente o tamanho e a largura de banda emitida para o destino.
Embora as amplificações DoS sejam tradicionalmente baseadas em UDP devido a complicações decorrentes do handshake de três vias do TCP para configurar uma conexão TCP / IP em uma rede baseada em IP (SYN, SYN + ACK e ACK), os pesquisadores descobriram que um grande número de middleboxes de rede não estão em conformidade com o padrão TCP e podem “responder a solicitações censuradas falsificadas com grandes páginas de bloqueio, mesmo se não houver conexão TCP válida ou handshake”, transformando os dispositivos em alvos atraentes para ataques de amplificação DoS.
“Middleboxes muitas vezes não são compatíveis com TCP por design, muitos middleboxes tentam lidar com o roteamento assimétrico, onde a middlebox só pode ver uma direção dos pacotes em uma conexão (por exemplo, cliente para servidor)”, conforme os pesquisadores . “Mas esse recurso os abre para ataques, se os middleboxes injetam conteúdo com base apenas em um lado da conexão, um invasor pode falsificar um lado de um handshake TCP de três vias e convencer o middlebox de que há uma conexão válida.”
Em outras palavras, o mecanismo depende de enganar o middlebox para injetar uma resposta sem completar o aperto de mão de três vias, posteriormente usando-o para acessar um domínio proibido, como pornografia, jogos de azar e sites de compartilhamento de arquivos, fazendo com que o middlebox responda com uma página de bloqueio que seria muito maior do que as solicitações censuradas, resultando em uma amplificação.
Além do mais, essas respostas amplificadas não vêm apenas predominantemente de middleboxes, uma parte desses equipamentos de inspeção de rede são aparelhos de censura do estado-nação, destacando o papel desempenhado por tal infraestrutura em permitir que os governos suprimem o acesso às informações dentro de suas fronteiras, e pior, permite que adversários transformem os dispositivos de rede em armas para atacar qualquer vítima na Internet.
“A infraestrutura de censura do estado-nação está localizada em ISPs de alta velocidade e é capaz de enviar e injetar dados em larguras de banda incrivelmente altas”, conforme os pesquisadores. “Isso permite que um invasor amplifique grandes quantidades de tráfego sem se preocupar com a saturação do amplificador. Em segundo lugar, o enorme conjunto de endereços IP de origem que podem ser usados para acionar ataques de amplificação torna difícil para as vítimas bloquearem simplesmente um punhado de refletores. Estado-nação com censores efetivamente transformam todos os endereços IP roteáveis (sic) em seu país em um potencial amplificador. “
“Middleboxes, introduz uma ameaça inexplorada e inesperada, como ainda que os atacantes poderiam aproveitar para lançar poderosos ataques DoS”, conforme os pesquisadores. “Proteger a Internet contra essas ameaças exigirá um esforço conjunto de muitos fabricantes e operadoras de middlebox.”
Este artigo é uma tradução de: https://thehackernews.com/2021/08/attackers-can-weaponize-firewalls-and.html