Loop Denial-of-Service siber saldırı yöntemi bu hafta başında Almanya’daki CISPA Helmholtz Bilgi Güvenliği Merkezi’nden araştırmacılar Christian Rossow ve Yepeng (Eric) Pan tarafından açıklandı. Saldırı temel olarak, savunmasız A sunucusuna IP adresi kaynak sahteciliği kullanarak bir hata mesajı göndermeye dayanıyor, A sunucusu savunmasız B sunucusuna bir hata mesajı ile yanıt verirrken, o da A’ya bir hata mesajı gönderir. Kısa süre içinde bu hata mesajları bir döngüye yol açar ve A ve B sunucuları arasındaki UDP paketleri fırtınası makinelerin kaynaklarını tüketir. Tüm normal kullanıcılar için sunucular kullanılamıyor gibi görünmeye başlar.
Rossow ve Pan’ın bu haftaki yazılarında “Örneğin, girdi olarak bir hata mesajı aldığında bir hata mesajıyla yanıt veren iki hizmet düşünün. Girdi olarak alınan bir hata çıktı olarak bir hata yaratırsa ve ikinci bir sistem de aynı şekilde davranırsa, bu iki sistem sonsuza kadar hata mesajları göndermeye devam edecektir” diyor.
Bu yöntem siber saldırı düzenleyenlere çeşitli şekillerde fayda sağlıyor. normal DoS saldırılarında sürekli trafik yaratmak zorlayıcı olabilirken, bu yöntemde hizmetleri kullanılamaz hale getirmek için sürekli trafik dalgaları göndermelerine gerek yok ve bir kez başladığında, hedeflenen makineler ya da aradaki biri sonsuz döngüyü kırana kadar bunu durdurmak mümkün değil.
TFTP, DNS ve NTP’nin belirli uygulamalarının yanı sıra Echo, Chargen ve QOTD gibi eski protokollerin de risk altında olduğu söyleniyor. İstismar, tüm makinelerin veya ağların olmasa bile hizmetlerin çökmesine neden olabilir. DNS, NTP ve TFTP taramalarına bakılırsa, en fazla sayıda halka açık potansiyel savunmasız sistem Çin, Rusya ve Amerika’da bulunurken, bunları İran, Güney Kore, İtalya, Fransa, Kanada ve Brezilya takip ediyor.
Araştırmacılar, bu tür bir uygulama katmanı döngüsünün 1996’dan beri bilinen bir sorun olduğunu belirtirken “Bildiğimiz kadarıyla bu tür bir saldırı henüz sahada gerçekleştirilmedi. Bununla birlikte, riski azaltmak için herhangi bir önlem alınmazsa saldırganların bu güvenlik açığından yararlanması kolay olacaktır” diyor.
Araştırmacılar, risk altındaki uygulamaların üreticileri ve “güvenilir bir operatör topluluğu” ile Aralık ayında temasa geçerek bulgularını açıkladıklarını ve yamaların yayınlanıp dağıtılmasını umduklarını söylediler. Arris, Broadcom, Microsoft, Honeywell, Brother ve MikroTik’in donanım ve yazılımlarının Loop DoS’a karşı savunmasız olanlar arasında olduğu söyleniyor. Ayrıca Cisco, TP-Link ve Zyxel’in desteği kesilen ürünlerinin de risk altında olduğu bildirilmekte.
