1. 개요
- UDP 프로토콜의 구현상 문제로 인해 발생하는 서비스 거부 취약점이 발견 [1]
- 두 서비스간 오류 메시지를 무한정 주고받도록 하여 서비스 거부 유발
- 최소 30만 개의 서버가 취약점에 영향받는 것으로 파악됨
2. CVE-2024-2169
- UDP 애플리케이션 프로토콜의 구현 문제로 인해 공격자는 악의적으로 제작된 패킷을 사용해 서비스 거부 유발 가능
> 벤더사 Broadcom, Cisco, Honeywell, Microsoft, MikroTik가 영향을 받는것으로 확인
> DNS, NTP, TFTP, Active Users, Daytime, Echo, Chargen, QOTD, Time과 같은 UDP 프로토콜의 특정 구현을 악용해 자체 영속적인 공격 루프를 생성할 수 있음
> 약 30만 개의 호스트에 영향
- UDP는 설계상 Source IP의 유효성을 검사하지 않는 비연결형 프로토콜로, IP 스푸핑에 취약
> UDP는 송수신자간 검증 및 직접 연결을 설정하지 않고, 패킷을 전송
> 따라서, 공격자가 Target IP로 스푸핑하여 응답할 서버로 전송해 취약점을 유발
- IP 스푸핑 및 조작된 요청을 전송하여, 두 서비스가 서로의 메시지에 계속 응답하는 루프 생성
> 두 시스템이 오류 메시지를 무한정으로 주고받아(=Loop) 서비스 거부 발생
2.1 공격 시나리오
시나리오 ①
- 다수의 호스트와 대상 서버간 루프를(N:1) 생성해 단일 대상에 DoS 유발
시나리오 ②
- 백본 네트워크에 존재하는 호스트간 루프를(N:N) 생성해 다수 대상에 DoS 유발
시나리오 ③
- 내부 호스트와 외부 호스트간 루프를(N:N) 생성해 업링크에 부하 유발
시나리오 ④
- 루프 대상이 단일 응답이 아닌 여러 응답을 발생해 자체 증폭 루프를 형성
> 가장 파괴적인 유형으로, 모든 네트워크 트래픽을 중단하지 않는 한 계속 발생할 것
3. 대응방안
- 벤더사 제공 업데이트 적용
> 취약점 확인 후 벤더사에 전달해 조치가 이뤄지는 중
- UDP 애플리케이션 대상 방화벽 규칙 및 ACL 적용
- 불필요 UDP 비활성화
- QoS를 사용해 네트워크 트래픽 제한
- BCP38 및 uRPF(Unicast Reverse Path Forwarding) 등의 스푸핑 방지 솔루션 도입
4. 참고
[1] https://cispa.de/en/loop-dos
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-2169
[3] https://www.bleepingcomputer.com/news/security/new-loop-dos-attack-may-impact-up-to-300-000-online-systems/#google_vignette
[4] https://thehackernews.com/2024/03/new-loop-dos-attack-impacts-hundreds-of.html
[5] https://securityaffairs.com/160851/hacking/loop-dos-attack.html
[6] https://www.darkreading.com/cloud-security/300k-internet-hosts-at-risk-for-devastating-loop-dos-attack
[7] https://www.boannews.com/media/view.asp?idx=127987&kind=1
'취약점 > Denial of Service' 카테고리의 다른 글
| Cloud DDoS 취약점 Linguistic Lumberjack (CVE-2024-4323) (0) | 2024.05.22 |
|---|---|
| CONTINUATION Flood (0) | 2024.04.07 |
| KeyTrap 취약점(CVE-2023-50387) (0) | 2024.02.28 |
| SLP DRDoS (CVE-2023-29552) (0) | 2023.11.13 |
| HTTP/2 Rapid Reset DDoS (CVE-2023-44487) (0) | 2023.10.13 |