Ataque BlackNurse permite alimentar los ataques #DDoS

Los investigadores han descubierto un método simple, llamado ataque BlackNurse, para alimentar los ataques DDoS masivos que podrían permitir a atacantes solitarios que golpean grandes servidores fuera de línea con recursos limitados.

“Este ataque no se basa en la inundación pura de la conexión a Internet, y nos han llamado ‘BlackNurse’. BlackNurse no es lo mismo que un viejo ataque de inundación ICMP que se conoce para enviar peticiones ICMP a la meta muy rápidamente. BlackNurse se basa en ICMP con el Tipo 3 Código 3 paquetes”.  Lea el análisis publicado por los investigadores.

El ataque BlackNurse fue ideado por los investigadores de la danesa TDC Centro de Operaciones de Seguridad, que podría ser eficaz contra los servidores protegidos por ciertos servidores de seguridad realizadas por Cisco Systems, Palo Alto Networks, SonicWall, y Zyxel.

“El ataque BlackNurse atrajo nuestra atención, porque en nuestra solución anti-DDoS experimentamos que a pesar de la velocidad del tráfico y paquetes por segundo eran muy bajos, este ataque podría mantener las operaciones de nuestros clientes hacia abajo. Esto incluso aplica a los clientes con grandes enlaces ascendentes de Internet y los grandes servidores de seguridad de la empresa en su lugar. Habíamos esperado que el equipo servidor de seguridad profesional sería capaz de manejar el ataque. “, Continúa el informe.

El ataque BlackNurse aprovecha en la ICMP con el Tipo 3 Código 3 paquetes que son utilizados por los routers y equipos de red para enviar y recibir mensajes de error.

Mediante el envío de este tipo específico de paquetes ICMP atacantes pueden sobrecargar la CPU de ciertos tipos de servidores de seguridad de servidor.

Los investigadores notaron que después de alcanzar un umbral de 15 Mbps a 18 Mbps, los dispositivos de red caen tantos paquetes que el servidor estará fuera de línea.

Los investigadores de la TDC SOC explicaron que el ataque BlackNurse podría permitir a un atacante solitario con un único ordenador portátil para poder DDoS ataques alcanzando un máximo de 180 Mbps.

“No importa si usted tiene una conexión a Internet de 1 Gbit. El impacto que vemos en diferentes servidores de seguridad es típicamente altas cargas de CPU. Cuando un ataque está en marcha, los usuarios del sitio [red de área local] ya no serán capaces de enviar / recibir tráfico a / desde Internet. Todos los servidores de seguridad que hemos visto se recuperan cuando el ataque se detiene”. Lee el análisis de la TDC SOC.

Los expertos confirmaron que en los últimos dos años otros 95 ataques DDoS que aprovechan el protocolo ICMP dirigidos a los clientes dentro de la red TDC, pero no se especifica cuántos de ellos son ataques BlackNurse.

Los expertos de Netresec que apoyaron la red TDC en el análisis confirmaron que el ataque va en contra de varios modelos de servidores de seguridad de los principales fabricantes, incluyendo Cisco Systems, Palo Alto Networks, SonicWall, y Zyxel.

Dispositivos verificados por el TDC a ser vulnerables al ataque BlackNurse:

  • Cisco ASA 5506, 5515, 5525 (configuración predeterminada)
  • Cisco ASA 5550 (Legacy) y 5515-X (última generación)
  • Cisco Router 897 (a menos velocidad limitada)
  • Palo Alto (no verificado)
  • SonicWall (si mal configurado)
  • Zyxel NWA3560-N (ataque inalámbrica de LAN lateral)
  • Zyxel Zywall USG50

Los investigadores de la Netresec.com publicaron un análisis detallado del ataque BlackNurse.

Palo Alto Networks ha emitido una específica de asesoramiento  para hacer frente a este ataque DDoS específica.

Leave a Reply

%d bloggers like this: