Neue Denial-of-Service-Angriffsmethode entdeckt

Ein Forschungsteam des CISPA Helmholtz-Zentrums für Informationssicherheit veröffentlichte am 19. März 2024 ein Advisory zu Application-layer Loop DoS. Die Forschenden entdeckten diese DoS-Angriffsmethode Ende 2023. 

Kriminelle können die neue DoS-Vorgehensweise nutzen, um endlose Anfrageschleifen zwischen zwei Servern auszulösen. Diese Schleifen bzw. Loops sind nur sehr schwer zu beenden und beeinträchtigen die Funktionalitäten eines Systems bis hin zum vollständigen Ausfall. 

Im Zuge der Veröffentlichung von Application-layer Loop DoS wurde die Schwachstelle CVE-2024-2169 bekannt. CVE-2024-2169 betrifft mehrere Implementierungen von Kommunikationsprotokollen. Diese Kommunikationsprotokolle sind beispielsweise Network Time Protocol (NTP), ein Protokoll zum Zeitabgleich mehrerer Systeme, oder Domain Name System (DNS), ein Protokoll zur Namensauflösung des Domain-Namens zur IP-Adresse. Jedoch sind nicht alle Implementierungen dieser Protokolltypen anfällig für Application-layer Loop DoS bzw. CVE-2024-2169.

Beispiel zur DoS-Methode anhand TFTP

Ein weiterer potenziell betroffener Protokolltyp ist Trivial File Transfer Protocol (TFTP). Hier beginnt ein Application-layer-Loop-DoS-Angriff beispielsweise mit einer von Angreifenden präparierten TFTP-Fehlermeldung. Diese täuscht durch Absender-Spoofing vor, von einem ersten Server an einen zweiten Server abgeschickt worden zu sein. Server 2 nimmt die authentisch wirkende Fehlermeldung an und sendet daraufhin eine Meldung an Server 1. Dies löst eine Endlosschleife von TFTP-Fehlermeldungen zwischen den beiden Servern aus. Das beeinträchtigt sowohl die Netzwerkverbindung als auch beide Server stark bis hin zum Totalausfall.

Grundsätzlich sind solche als DoS-Angriffsart verwendeten maliziösen Loops bekannt und werden auf der Netzwerkschicht häufig eingesetzt. Die mit Application-layer Loop DoS ausgeführten Abläufe auf der Anwendungsebene sind jedoch ein neuer Ansatz. Zudem können Angriffe dieser Art selbst von den Angreifenden nicht unterbrochen werden. Auch bekannte Erkennungsverfahren funktionieren bei Application-layer Loop DoS nicht. 

Das CISPA-Forschungsteam hat ca. 300.000 verwundbare Hosts über das Internet festgestellt. Eine Ausnutzung von CVE-2024-2169 bzw. ein erfolgreicher Application-layer-Loop-DoS-Angriff wurde bisher nicht bekannt, allerdings ist ein solcher Angriff wegen der leichten Anwendbarkeit der Methode sehr wahrscheinlich. 

Aufgrund der großen Anzahl an potenziell Betroffenen und der relativ leicht zu adaptierenden Vorgehensweise ist die geschilderte DoS-Methode äußerst bedrohlich und kritisch zu sehen.

• Wenn einer Ihrer Services von einem Angriff durch die neue DoS-Methode betroffen ist, deaktivieren Sie diesen umgehend. Danach aktualisieren Sie den betroffenen Service unmittelbar auf eine gepatchte Version.
• Aktualisieren Sie potenziell bedrohte Services regelmäßig.
• Um Ihre Services auf Betroffenheit zu testen, verwenden Sie das unten aufgeführte Python-Skript des CISPA-Forschungsteams auf GitHub.
• Wenn Sie sogenannte Legacy-Protokolle einsetzen, wie Chargen, Echo, QOTD, Time, Daytime oder Active Users unter Linux/inetd, lassen Sie diese von Ihren Netzwerk-Administratoren durch Quality-of-Service-Anpassungen präventiv herabstufen. Dies entpriorisiert den Datenverkehr dieser Protokolle, wodurch diese Datenpakete gegenüber anderen nachrangig werden.
• Auch während eines Application-layer-Loop-DoS-Angriffs können Sie gängige Protokolle wie DNS auf die im vorhergehenden Punkt beschriebene Art herabstufen lassen. So bleibt der legitime Datenverkehr während des Angriffs größtenteils erhalten.
• Weiter können Sie im Angriffsfall die Raten der eingehenden Anfragen limitieren. Dies führt dazu, dass die maliziösen Loops unterbrochen werden, da deren Datenverkehr die festgelegten Raten überschreitet.
• Im unten verlinkten CISPA-Advisory finden Sie unter anderem eine Liste der verwundbaren Software-Pakete und welche Hardware-Hersteller diese verwenden. Zudem enthält das Advisory umfassende Informationen zur neuen DoS-Methode und den Gegenmaßnahmen.