นักวิจัยพบการแนวทางใหม่ในการใช้ ICMP ทำ DoS ใส่ Firewall หลายค่ายให้ CPU ขึ้นสูงได้

การทำ DoS ด้วย ICMP นั้นไม่ใช่เรื่องใหม่และผู้ผลิต Firewall หลายค่ายก็ป้องกันได้แล้ว แต่นักวิจัยกลับพบแนวทางใหม่ในการใช้ ICMP โจมตี DoS Firewall ได้ถึงแม้จะไม่ได้ใช้ Bandwidth สูงนักก็ตาม

Credit: ShutterStock.com
Credit: ShutterStock.com

TDC Security Operations Center บริษัทผู้ให้บริการด้านการรักษาความปลอดภัยได้ออกมาเผยแพร่ข้อมูลเกี่ยวกับการโจมตีด้วย ICMP รูปแบบใหม่ที่ทำให้ Firewall จากหลายผู้ผลิตนั้นมี CPU ขึ้นสูงได้โดยไม่ต้องใช้ Bandwidth จำนวนมากนักในการโจมตี

ICMP นั้นมีหลายรูปแบบ การทำ Ping Flood ที่เรามักจะรู้จักกันนั้นมักจะใช้ ICMP Type 8 Code 0 แต่การโจมตีรูปแบบใหม่ที่ค้นพบนี้ใช้ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) ในการโจมตี ซึ่งระบบ Firewall ที่อนุญาตให้มีการเชื่อมต่อเข้ามาด้วย ICMP Type 3 Code 3 ที่ Interface ภายนอกได้นี้ก็จะสามารถตกเป็นเหยื่อของการโจมตีนี้ได้ และการโจมตีด้วย ICMP Type 3 Code 3 นี้ก็มีชื่อเรียกว่า BlackNurse

ในรายงานระบุว่า การโจมตีที่ระดับ 15-18 Mbps หรือ 40,000 – 50,000 Packets/s นั้นก็สสามารถทำให้ CPU ของ Firewall หลายค่ายขึ้นสูงได้แล้ว อีกทั้งปัญหานี้ยังจะเกิดได้ง่ายขึ้นหากเปิด Firewall Log เอาไว้ และทำให้เกิด DoS ใส่ Firewall จนทำให้ผู้ใช้งานภายในองค์กรไม่สามารถทำการเชื่อมต่อกับ Internet หรือระบบเครือข่ายภายในองค์กรที่ต้องทำ Routing ผ่าน Firewall ตัวนั้นๆ ได้

ที่มาของปัญหานี้ยังไม่แน่ชัดนักเพราะผู้ผลิต Firewall แต่ละค่ายต่างก็มีวิธีการรับมือกับ ICMP ที่แตกต่างกันไป แต่ทีมวิจัยก็พบว่าผู้ผลิตหลายรายที่ระบุว่า ICMP นั้นเป็น Protocol ที่ควรเปิดให้เชื่อมต่อเข้ามาจากภายนอกได้ ต่างก็ตกเป็นเหยื่อของกรณีนี้ แต่การปิด ICMP เองนั้นก็อาจส่งผลกระทบกับหลายๆ ระบบได้จริงๆ

องค์กรที่ต้องการทดสอบว่าอุปกรณ์ของตนเองมีช่องโหว่เหล่านี้หรือไม่นั้น สามารถติดตั้ง Ubuntu และลง Hping3 พร้อมทดสอบด้วยคำสั่ง hping3 -1 -C 3 -K 3 -i u20 หรือ hping3 -1 -C 3 -K 3 –flood ก็ได้ และทำการตรวจสอบ CPU Load บน Firewall ได้ทันที

ทีมวิจัยได้แนะนำว่าการบรรเทาปัญหานี้ชั่วคราวที่ได้ผผลเร็วที่สุดก็คือการปิด ICMP Type 3 Code 3 ไปก่อน แต่การทำแบบนี้ก็อาจส่งผลกับการเชื่อมต่อบางประเภท ไม่ว่าจะเป็น ICMP Path MTU Discovery, IPsec หรือ PPTP ก็ตาม

อีกทางหนึ่งที่สามารถแก้ปัญหานี้ได้ก็คือการใช้ระบบป้องกัน DDoS จากทาง ISP โดยตรงนั่นเอง

ผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มได้ที่ http://soc.tdc.dk/blacknurse/blacknurse.pdf เลยนะครับ ในนี้มีเขียนวิธีตรวจจับการโจมตี BlackNurse นี้ด้วย Snort เอาไว้ด้วยครับ

ที่มา: https://threatpost.com/blacknurse-low-volume-dos-attack-targets-firewalls/121916/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ

Microsoft ประกาศเหตุคอนฟิค Rule ผิด เปิดเข้าถึงข้อมูลลูกค้าได้กว่า 250 ล้านรายการ

Microsoft ได้ประกาศถึงเหตุการความผิดพลาดโดยไม่ตั้งใจสาเหตุจากการคอนฟิค Security Rule ของ Azure ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล Customer Support ส่งผลให้ข้อมูลกว่า 250 ล้านรายการสามารถถูกเข้าถึงได้ แต่ยังไม่มีรายงานพบการนำข้อมูลไปใช้ในทางที่ไม่ดี