Ecco BlackNurse: l’attacco DoS più efficace di sempre

Nov 15, 2016 Marco Schiaffino Attacchi, Hacking, Minacce, News, Vulnerabilità 0

Una nuova tecnica di attacco a “bassa intensità” riesce a mettere in crisi i firewall di ultima generazione. Basta un singolo computer per abbattere un’intera rete.

Scordatevi i mega attacchi con volumi da 1 Terabit per secondo come quelli che hanno squassato Internet negli ultimi mesi. La nuova frontiera del DDoS punta ad attacchi sofisticati che sfruttano le vulnerabilità dei firewall come BlackNurse.

A spiegare come funziona è TDC, una società specializzata nel contrastare attacchi DDoS, che in un report descrive questa peculiare tecnica di attacco in grado di mettere in crisi i firewall di ultima generazione.

Da un punto di vista tecnico, BlackNurse è un attacco di tipo ICMP Type 3 Code 3. In pratica, il computer dell’attaccante invia un falso messaggio di errore tramite Internet Control Message Protocol (ICMP) che segnala che la porta di destinazione non è raggiungibile.

L’invio di questi pacchetti, a quanto pare, è in grado di sovraccaricare il firewall della vittima, bloccando di fatto l’invio e la ricezione di dati in tutta la rete.

Nel report, i ricercatori di TDC non spiegano il motivo per cui questo tipo di attacco avrebbe effetti così devastanti e in particolare se faccia leva su una falla dei firewall o su una loro semplice errata configurazione.

Quello che è certo è che nelle ultime settimane alcuni loro clienti, dotati di infrastrutture di notevoli dimensioni, sono stati messi K.O. da attacchi con volumi minimi (15-8 Mbps) che in teoria avrebbero dovuto poter gestire facilmente.

Un attacco come BlackNurse non richiede una botnet: basta un solo computer con una connessione a banda larga.

L’attaccante, quindi, non ha bisogno di utilizzare migliaia di dispositivi, come è successo recentemente nel caso della famigerata botnet Mirai che sfrutta i dispositivi della Internet of Things per generare attacchi DDoS con volumi inediti.

La particolarità di questo attacco, infatti, è che non opera come i normali “flood”. Più che sul volume di traffico, BlackNurse punta sulla qualità e sul fatto che prende di mira la CPU del firewall. Avere molta disponibilità di banda, quindi, non aiuta in alcun modo.

La soluzione del problema, quindi, potrebbe non essere così semplice. Stando sempre a quanto riportato da TDC, l’ipotesi di bloccare questo tipo di pacchetti si scontrerebbe con le previsioni di molti standard e potrebbero, di conseguenza, avere come conseguenza malfunzionamenti e conflitti a livello di rete.

Per verificare se la propria rete è vulnerabile all’attacco, i ricercatori suggeriscono di utilizzare Hping3 usando i seguenti comandi:

hping3 -1 -C 3 -K 3 -i u20 <target ip>

hping3 -1 -C 3 -K 3 –flood <target ip>

Nei loro test, hanno verificato che un portatile con una configurazione “media” è in grado di generare un attacco da 180 Mbps, mentre uno smartphone Nexus 6 arriva solo a 9,5 Mbps, un “volume di fuoco” insufficiente per creare problemi. Magra consolazione…

Condividi l'articolo