BlackNurse، حمله‌ای برای از کار انداختن دستگاه فایروال با یک لپ‌تاپ معمولی

در دوره‌ای که تعداد دستگاه‌های تسخیر شده در شبکه‌های مخرب از هر زمانی دیگر بیشتر شده و اجرای حملات توزیع شده برای از کاراندازی سرویس (DDoS) به یک از اصلی‌ترین دغدغه‌های بسیاری از سازمان‌ها تبدیل شده است، محققان روش حمله جدیدی را کشف کرده‌اند که در آن با یک لپ‌تاپ معمولی می‌توان دستگاه‌های فایروال با پهنای باند بالا را براحتی از کار انداخت.

به گزارش شرکت مهندسی شبکه گستر، در این روش جدید موسوم به BlackNurse، از نوع خاصی از بسته‌های Internet Control Message Protocol – به اختصار ICMP – استفاده می‌شود. معمولاً از پودمان ICMP برای بررسی برقرار بودن ارتباطات شبکه‌ای از طریق فرمان Ping استفاده می‌شود.

در حملات از کاراندازی سرویس رایج سعی می‌شود که سرور یا سایت هدف قرار گرفته شده توسط فرمان Ping مبتنی بر ICMP Type 8 Code 0 سرریز شود. حملاتی که با نام Ping Flood شناخته می‌شوند.

اما در Black Nurse با ارسال بسته‌‌های از نوع Type 3 – به معنای Destination Unreachable – و Code 3 – به معنای Port Unreachable – در پودمان مذکور، بخش قابل توجهی از منابع پردازشگر فایروال درگیر پردازش می‌شود.

بر طبق بررسی‌های محققان شرکت دانمارکی TDC که این روش جدید را کشف کرده‌اند با ارسال 40 تا 50 هزار بسته از نوع ICMP Type 3 Code 3 در هر ثانیه می‌توان یک فایروال آسیب‌پذیر را سرریز کرد. پهنای باند مورد نیاز برای ارسال این تعداد بسته بین 15 تا 18 مگابیت بر ثانیه است. این بدان معناست که چنین حمله‌ای را می‌توان از روی یک لپ‌تاپ معمولی نیز اجرا کرد.

در زمان اجرا شدن چنین حملاتی عملاً فایروال از مدار خارج شده و ارتباطات کاربران متصل به آن دچار اختلال می شود.

این محققان برای بررسی مؤثر بودن این حملات از فایروال‌های Adaptive Security Appliance شرکت Cisco با تنظیمات پیش‌فرض استفاده کرده اند.

به گزارش شرکت مهندسی شبکه گستر، شرکت Cisco در مستندات خود فعال گذاشتن پردازش ICMP Type 3 را توصیه کرده است. در این مستندات اشاره شده که بستن این نوع درخواست منجر به عدم شناسایی ICMP Path MTU و در نهایت مختل شدن ترافیک IPSec و PPTP می‌شود.

در فهرست اعلام شده توسط محققان TDC اسامی شرکت‌های دیگر سازنده فایروال نیز به چشم می‌خورد؛ اما برخی از آنها تنها با پیکربندی ناصحیح به این حمله آسیب‌پذیر هستند.

TDC، تنها در کشور دانمارک 1/7 میلیون دستگاه آسیب‌پذیر به حمله Black Nurse را شناسایی کرده است.

مشروح گزارش یافته‌های شرکت TDC از اینجا قابل دریافت است.