Sì, non ti serve che un unico laptop con una connessione internet decente, piuttosto che un’enorme botnet, per creare attacchi DoS e mandare offline i maggiori server internet e firewall di nuova generazione.

I ricercatori al TDC Security Operations Center hanno scoperto una nuova tecnica d’attacco che singoli hacker con risorse limitate (in questo caso: un laptop e almeno 15Mbps di banda) possono utilizzare per mandare offline grossi server.

Chiamato attacco BlackNurse o attacco “Ping della Morte“, questa tecnica può essere utilizzata per far partire diversi attacchi Dos di piccolo volume, inviando pacchetti ICMP (Internet Control Message Protocol ) specificamente disegnati, oppure dei ‘ping’ che sopraffanno i processori sul server protetto da firewall come Cisco, Palo Alto Networks, e molti altri.

ICMP è un protocollo utilizzato da router o altri apparecchi per mandare o ricevere messaggi d’errore.

Secondo un rapporto tecnico pubblicato questa settimana, l’attacco BlackNurse è più tradizionalmente conosciuto come “attacco ping di massa” e si basa su richieste ICMP di Tipo 3 (Destinazione Irraggiungibile) Codice 3 (Porta Irraggiungibile).

Queste richieste sono pacchetti risposte di solito inviate a risorse ping quando la porta di destinazione del bersaglio è “irraggiungibile”.

Come si svolge un attacco BlackNurse

Inviando pacchetti ICMP di Tipo 3 con un codice di 3, un hacker può causare un Denial of Service (DoS) sovraccaricando i CPU di determinati tipi di server firewall, indipendentemente dalla qualità della connessione internet.

Il volume del traffico del BlackNurse è molto limitato e va dai 15 Mbps ai 18 Mbps (o dai 40,000 ai 50,000 pacchetti al secondo), una quantità ridicola se comparata all’attacco DDoS da record da 1.1 Tbps registrato a Settembre contro il servizio di provider Internet francese OVG.

Ad ogni modo, TDC ha spiegato che non è questo il punto poiché il problema principale è il flusso continuo di pacchetti ICMP da 40K a 50K che raggiungono gli strumenti network della vittima e crashano perennemente il dispositivo del bersaglio.

La buona notizia? I ricercatori dicono:”Quando è in corso un attacco, gli utenti in LAN non potranno più inviare/ricevere traffico da/verso Internet. Tutti i firewall vengono recuperati quando l’attacco finisce.”

In altre parole, questa tecnica a basso volume DoS rimane efficace perché non ammassa il firewall con il traffico, ma piuttosto ne spinge un ampio carico nel CPU, mandando efficacemente i server offline anche se hanno un’ampia capacità di network.

I ricercatori dicono che BlackNurse non deve essere confuso con gli “attacchi ping basati su ICMP di Tipo 8 Codice 0′ – traffico ping regolare. I ricercatori spiegano:

“L’attacco BlackNurse ha attirato la nostra attenzione perché nella nostra soluzione anti DDoS abbiamo riscontrato che anche se la velocità di traffico e i pacchetti al secondo erano molto bassi, questo attacco poteva lo stesso bloccare le operazioni dei nostri clienti.”
“Succedeva anche a clienti con grandi internet uplink o con firewall di ultima generazione installati. Abbiamo riscontrato che firewall professionali riescono a gestire l’attacco.”

Prodotti vulnerabili

Un attacco BlackNurse colpisce i seguenti prodotti:
– Cisco ASA 5506, 5515, 5525 (impostazioni di base)
– Cisco ASA 5550 (legacy) and 5515-X (ultima generazione)
– Cisco Router 897 (può essere mitigato)
– SonicWall (Si può cambiare la configurazione e mitigarlo)

– Zyxel NWA3560-N (attacchi wireless dal LAN)
– Zyxel Zywall USG50

Come mitigare un attacco BlackNurse?

La buona notizia? Ci sono vari modi per combattere gli attacchi BlackNurse.

TDC suggerisce alcune mitigazioni e regole SNORT IDS che possono essere utilizzate per scoprire gli attacchi BlackNurse. Inoltre,può essere utilizzato dagli admin network il codice proof-of-concept (PoC), condiviso su GitHub da un ingegnere per la sicurezza di OVH, per testare i propri strumenti contro il BlackNurse.

Per mitigare gli attacchi BlackNurse sui firewall o altri dispositivi, TDC consiglia agli utenti di configurare una lista fidata di sources su cui ICMP è permesso. Tuttavia, il modo migliore per mitigare l’attacco è semplicemente disabilitare ICMP di Tipo 3 Codice 3 sull’interfaccia WAN.

Palo Alto Network ha emesso inoltre un avviso, annunciando che i suoi dispositivi risentono di “casi molto specifici, particolari e che contravvengono le pratiche migliori”. La compagnia fa anche un elenco di consigli per i suoi clienti.

Nel frattempo, Cisco non considera il comportamento riportato come un problema di sicurezza, attenzione:

“Raccomandiamo di concedere il permesso per i tipi di messaggi unreachable ICMP (tipo 3). Negare i messaggi unreachable ICMP disattiva ICMP Path MTU discovery, che può bloccare il traffico IPSec e PPTP”.

Anche il venditore software indipendente NETRESEC ha pubblicato un’analisi dettagliata di BlackNurse nel suo post intitolato: “Hanno chiamato gli anni ‘90 e rivogliono indietro gli attacchi flood ICMP”.

Oltre a questi, anche l’istituto Sans ha emesso la sua breve recensione sull’attacco BlackNurse, discutendo l’attacco e ciò che gli utenti dovrebbero fare per mitigarlo.