นักวิจัยพบการแนวทางใหม่ในการใช้ ICMP ทำ DoS ใส่ Firewall หลายค่ายให้ CPU ขึ้นสูงได้

การทำ DoS ด้วย ICMP นั้นไม่ใช่เรื่องใหม่และผู้ผลิต Firewall หลายค่ายก็ป้องกันได้แล้ว แต่นักวิจัยกลับพบแนวทางใหม่ในการใช้ ICMP โจมตี DoS Firewall ได้ถึงแม้จะไม่ได้ใช้ Bandwidth สูงนักก็ตาม

Credit: ShutterStock.com
Credit: ShutterStock.com

TDC Security Operations Center บริษัทผู้ให้บริการด้านการรักษาความปลอดภัยได้ออกมาเผยแพร่ข้อมูลเกี่ยวกับการโจมตีด้วย ICMP รูปแบบใหม่ที่ทำให้ Firewall จากหลายผู้ผลิตนั้นมี CPU ขึ้นสูงได้โดยไม่ต้องใช้ Bandwidth จำนวนมากนักในการโจมตี

ICMP นั้นมีหลายรูปแบบ การทำ Ping Flood ที่เรามักจะรู้จักกันนั้นมักจะใช้ ICMP Type 8 Code 0 แต่การโจมตีรูปแบบใหม่ที่ค้นพบนี้ใช้ ICMP Type 3 (Destination Unreachable) Code 3 (Port Unreachable) ในการโจมตี ซึ่งระบบ Firewall ที่อนุญาตให้มีการเชื่อมต่อเข้ามาด้วย ICMP Type 3 Code 3 ที่ Interface ภายนอกได้นี้ก็จะสามารถตกเป็นเหยื่อของการโจมตีนี้ได้ และการโจมตีด้วย ICMP Type 3 Code 3 นี้ก็มีชื่อเรียกว่า BlackNurse

ในรายงานระบุว่า การโจมตีที่ระดับ 15-18 Mbps หรือ 40,000 – 50,000 Packets/s นั้นก็สสามารถทำให้ CPU ของ Firewall หลายค่ายขึ้นสูงได้แล้ว อีกทั้งปัญหานี้ยังจะเกิดได้ง่ายขึ้นหากเปิด Firewall Log เอาไว้ และทำให้เกิด DoS ใส่ Firewall จนทำให้ผู้ใช้งานภายในองค์กรไม่สามารถทำการเชื่อมต่อกับ Internet หรือระบบเครือข่ายภายในองค์กรที่ต้องทำ Routing ผ่าน Firewall ตัวนั้นๆ ได้

ที่มาของปัญหานี้ยังไม่แน่ชัดนักเพราะผู้ผลิต Firewall แต่ละค่ายต่างก็มีวิธีการรับมือกับ ICMP ที่แตกต่างกันไป แต่ทีมวิจัยก็พบว่าผู้ผลิตหลายรายที่ระบุว่า ICMP นั้นเป็น Protocol ที่ควรเปิดให้เชื่อมต่อเข้ามาจากภายนอกได้ ต่างก็ตกเป็นเหยื่อของกรณีนี้ แต่การปิด ICMP เองนั้นก็อาจส่งผลกระทบกับหลายๆ ระบบได้จริงๆ

องค์กรที่ต้องการทดสอบว่าอุปกรณ์ของตนเองมีช่องโหว่เหล่านี้หรือไม่นั้น สามารถติดตั้ง Ubuntu และลง Hping3 พร้อมทดสอบด้วยคำสั่ง hping3 -1 -C 3 -K 3 -i u20 หรือ hping3 -1 -C 3 -K 3 –flood ก็ได้ และทำการตรวจสอบ CPU Load บน Firewall ได้ทันที

ทีมวิจัยได้แนะนำว่าการบรรเทาปัญหานี้ชั่วคราวที่ได้ผผลเร็วที่สุดก็คือการปิด ICMP Type 3 Code 3 ไปก่อน แต่การทำแบบนี้ก็อาจส่งผลกับการเชื่อมต่อบางประเภท ไม่ว่าจะเป็น ICMP Path MTU Discovery, IPsec หรือ PPTP ก็ตาม

อีกทางหนึ่งที่สามารถแก้ปัญหานี้ได้ก็คือการใช้ระบบป้องกัน DDoS จากทาง ISP โดยตรงนั่นเอง

ผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มได้ที่ http://soc.tdc.dk/blacknurse/blacknurse.pdf เลยนะครับ ในนี้มีเขียนวิธีตรวจจับการโจมตี BlackNurse นี้ด้วย Snort เอาไว้ด้วยครับ

ที่มา: https://threatpost.com/blacknurse-low-volume-dos-attack-targets-firewalls/121916/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] พลิกโฉม DevSecOps ด้วย Dynatrace – เสริมศักยภาพระบบ IT ด้วยการมอนิเตอร์อัตโนมัติและความปลอดภัยอัจฉริยะ

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย AskMe Webinar เรื่อง “พลิกโฉม DevSecOps ด้วย Dynatrace – เสริมศักยภาพระบบ IT ด้วยการมอนิเตอร์อัตโนมัติและความปลอดภัยอัจฉริยะ” พร้อมกรณีศึกษาการใช้ DevSecOps ลดเวลาในการตรวจจับและแก้ไขปัญหา …

iZeno และ Mendix ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ “Empower Your Digital Transformation Journey with AI and Low-Code” [5 ธ.ค. 2567 — 10.00น.]

iZeno และ Mendix ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ “Empower Your Digital Transformation Journey with AI and Low-Code” ที่จะทุกท่านได้เรียนรู้เกี่ยวกับโซลูชันการพัฒนาแอปพลิเคชันด้วยเทคโนโลยี Low-code …