BlackNurse, nuova tecnica di attacco DoS

 

Proto: N021116.

Con la presente Yoroi desidera comunicarLe che è stata recentemente resa pubblica una nuova tecnica che permette di effettuare attacchi Denial-of-Service (DoS) utilizzando un limitato numero di risorse.
Alcuni ricercatori sono riusciti infatti a mettere in pratica un attacco DoS avendo a disposizione solo un computer portatile e una connessione a 15Mbps.
La tecnica prende il nome di attacco BlackNurse, o attacco “Ping of Death“, ed è in grado di causare disservizi semplicemente inviando pacchetti ICMP (pings) opportunamente formattati verso server protetti da prodotti Cisco, Palo Alto Networks e altri noti vendor.
Il protocollo ICMP (Internet Control Message Protocol) è utilizzato comunemente dai dispositivi di rete per inviare e ricevere messaggi di errore.
Questo particolare attacco invia un elevato numero di pacchetti ICMP di tipo 3 (Destinazione non raggiungibile) e codice 3 (Porta non raggiungibile), comunemente utilizzati per indicare che la porta a cui ci si sta tentando di connettere non è raggiungibile.
L’elevato numero di pacchetti di questa tipologia porta un elevato carico di lavoro sulla CPU di alcuni tipi di firewall causando un immediato disservizio, impedendo la navigazione verso l’esterno agli utenti della rete LAN collegata al firewall.

I seguenti prodotti possono essere soggetti ad attacchi BlackNurse:

  • Cisco ASA 5506, 5515, 5525, 5550 (legacy) e 5515-X (solo con impostazioni predefinite)
  • Cisco Router 897  (solo con impostazioni predefinite)
  • SonicWall (solo con impostazioni predefinite)
  • Zyxel NWA3560-N (solo attraverso la rete LAN Wireless)
  • Zyxel Zywall USG50
  • Alcuni firewall Palo Alto (solo in casi specifici non dipendenti dalle impostazioni predefinite)

Yoroi suggerisce di disabilitare i messaggi ICMP Type 3 Code 3 sulla interfaccia WAN o limitare il loro utilizzo ad un limitato numero di dispositivi specificati tramite whitelist.
Tuttavia Cisco non considera la problematica un incidente di sicurezza importante, anzi, consiglia ai propri utenti di mantenere l’impostazione abilitata per evitare problematiche relative al traffico IPSec e PPTP che necessita della funzionalità ICMP Path MTU discovery che si appoggia proprio su questa tipologia di messaggi.

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index