Петля затягивается: чем опасна новая уязвимость для проведения DDoS-атак

Держаться замкнуто

Новый тип DDoS-атак нацелен на протоколы прикладного уровня и затрагивает как устаревшие протоколы (например, QOTD, Chargen, Echo), так и современные (DNS, NTP и TFTP), подвергая риску около 300 000 интернет-хостов и их сети по всему миру, следует из сообщения CISPA. Хост — компьютер или другое устройство, подключенное к сети; может работать как сервер, предлагающий информационные ресурсы, услуги и приложения пользователям или другим хостам в сети.

«Циклическая атака объединяет две сетевые службы таким образом, что они продолжают отвечать на сообщения друг друга бесконечно. При этом они генерируют огромные объемы трафика, что приводит к отказу в обслуживании задействованных систем или сетей. Как только вводится триггер и цикл запускается, даже злоумышленники не в состоянии остановить атаку», — пишут эксперты CISPA Йепенг Пан и Кристиан Россоу. Ранее известные циклические атаки происходили на уровне маршрутизации одной сети и были ограничены конечным числом итераций, добавляют они.

Подверженные риску протоколы широко используются для обеспечения базовых функций в интернете. NTP, например, позволяет синхронизировать время между компьютерами, DNS сопоставляет доменные имена с соответствующими IP-адресами, а TFTP позволяет передавать файлы без аутентификации пользователя. «Насколько нам известно, такого рода атаки еще не проводились в полевых условиях, — говорит Россоу. — Злоумышленникам было бы легко воспользоваться этой уязвимостью, если бы не было предпринято никаких действий для снижения риска».

Хорошо забытое старое

В целом идея, которой могут воспользоваться злоумышленники, не нова, обращают внимание эксперты. Она основана на том, что при работе протокола UDP не проверяется подлинность источника запроса. Поэтому, используя возможности спуфинга (подмены IP-адреса источника запроса), можно направить трафик к другому адресату. «Это достаточно очевидная вещь, которую обычно изучают на первых курсах программ по ИБ в университетах», — обращает внимание руководитель направления защиты на уровне веб-приложений DDoS-Guard Дмитрий Никонов.

Действительно, принципу, по которому работает эта техника воздействия на сети, уже много лет, и он встречался еще в 1990-х, говорит заместитель гендиректора Servicepipe Даниил Щербаков. Loop DoS он сравнивает с автоответом на почте: «Его можно настроить отвечать тем, кто присылает письма в отсутствие получателя, когда последний, например, в поездке. Так и здесь. Только этот «автоответ» может, обращаясь к устройствам с таким же «автоответом», запустить бесконечную петлю, забить все каналы и в итоге «положить» бизнес. Теперь компаниям надо выявлять устройства, которые работают по этому протоколу, и решать, как защититься».

Суть петлевых атак в том, что с обеих сторон идут некорректные запросы и ответы «ошибка», говорит руководитель центра сервисов кибербезопасности МТС RED Андрей Дугин. «Эти ответы воспринимаются другой стороной как некорректные запросы, на которые опять выдается ответ «ошибка», и так до бесконечности, — рассуждает он. — Если вклиниться в этот трафик и пресечь поток запросов-ошибок, другая сторона прекратит ответы, и атака прервется. Это можно сделать с помощью решений класса Anti-DDoS, IPS, NGFW».

Идеи для злоумышленников лежат на поверхности, констатирует Дмитрий Никонов. Опасность, по его словам, представляет либо найденная возможность нестандартно применить на практике изначально не опасный инструментарий, либо найденные особенности стандартов, на которые опираются многие вендоры. «Именно поэтому такие находки могут быть разрушительными: под удар попадает не конкретный продукт одного вендора от, например, ошибок в коде, а целый класс продуктов, каждый из которых уязвимость может затронуть через общий стандарт их реализации», — объясняет он.

Ситуация серьезная

Если находка CISPA подтвердится, то это действительно «очень серьезно», полагает Никонов: «По значимости ее можно будет сравнить с атаками DNS amplification (с лат. amplifico — «увеличиваю», амплификация — усиление DDoS-атаки при помощи различных алгоритмов. — Forbes)». 

Обнаруженный немецкими исследователями паттерн — наглядный пример ситуации, когда от наличия амплификатора в сети могут пострадать все ее операторы, размышляет гендиректор Qrator Labs Дмитрий Ткачев: «Причем от злоумышленника требуется минимум: одним пакетом наладить взаимодействие между уязвимыми серверами и все. Дальше атака будет идти самостоятельно, а ее мощность будет стабильна и поддерживать сама себя».

Главная проблема, не позволяющая победить amplification-атаки раз и навсегда, — это то, что от них, как правило, страдает не владелец уязвимого сервера, а кто-то другой, считает Ткачев. «Владелец оборудования о том, что у него запущен некий софт и участвует в атаках, может вообще не знать. Именно по этой причине древние уязвимые сервера не «патчатся», все это «висит» в интернете и постоянно участвует в атаках», — добавляет он.

По мнению Никонова, вендоров, которые находятся в зоне риска, не стоит разделять на зарубежных и отечественных. Компании, по его словам, нередко используют одни и те же продукты, коммерческие или с открытым исходным кодом, поэтому под угрозой находятся в равной степени и те и другие: «Кроме того, злоумышленники — явление интернациональное».

Масштаб проблемы

На вопрос, насколько велика цифра в 300 000 хостов, эксперты однозначно ответить не могут. Современные бот-сети бывают и больше, до миллионов хостов, указывает Андрей Дугин. Но опасность петлевых DoS-атак, по его словам, в том, что достаточно один раз инициировать петлю, чтобы начался обмен пакетами, который может длиться бесконечно: «С другой стороны, жертвой может стать только сервер, подверженный такой уязвимости».

Впрочем, то, что в CISPA нашли 300 000, не значит, что они исследовали все хосты, рассуждает Дмитрий Никонов. «В абсолютных цифрах выглядит немного, но нужно учитывать тот факт, что у некоторых вендоров может быть всего несколько хостов, предоставляющих какие-либо услуги через протокол UDP, например DNS-серверы у провайдеров для их пользователей. А таких серверов обычно всего пара штук у многих провайдеров, — продолжает он. — То есть счет на количество потенциально уязвимых к атаке вендоров услуг тогда может идти на десятки тысяч. А это уже очень много, учитывая, что в России всего несколько сотен провайдеров. Конечно, это упрощение в некоторой степени, но оно наглядно показывает, что зона поражения может оказаться очень большой, даже если уязвимых хостов всего 300 000».

Как оценивают в Qrator Labs, около 6% всех интернет-систем в России уязвимы перед риском, описанным в CISPA.

Ландшафт атак

Согласно данным StormWall, в 2023 году количество DDoS-атак во всем мире увеличилось на 63%, в основном из-за геополитических факторов. На Россию пришлось 7,3% от общего количества нападений, это 7-е место в мире. По оценкам ГК «Солар», в 2023 году число российских компаний, столкнувшихся с DDoS, выросло на 40%, при этом общее количество таких атак сократилось на треть (до 306 000), а их распределение между отраслями стало более равномерным. В то же время отдельные DDoS-удары 2023 года поставили новый рекорд по мощности и длительности.

«Снижение числа атак выглядит вполне закономерным и объясняется корректировкой аномального роста DDoS в первой половине 2022 года. Тогда, сразу после начала «спецоперации»*, массовый DDoS стал ключевым инструментом политически мотивированных злоумышленников. Они атаковали общественно значимые ресурсы, чтобы посеять панику и недовольство в обществе. Но после резкого всплеска такие атаки пошли на спад», — констатировали ранее в ГК «Солар».

* Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ. Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением» либо «объявлением войны», если это не прямая цитата (статья 57 ФЗ о СМИ). В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.