BlackNurse攻撃：ラップトップとICMPを使用してファイアウォールを無効にする方法

DoS攻撃には常に大規模なボットネットが必要とは限りません。 情報セキュリティ研究者は 、人気のあるメーカーのファイアウォールを1台のラップトップでオフにできるBlackNurse攻撃について説明しました。

問題は何ですか

TDCテレコムオペレータのSOC（セキュリティオペレーションセンター）部門のデンマークの研究者は、一般的なファイアウォールによるICMPリクエストの処理機能を使用するBlackNurse攻撃について説明しました。



公開された研究のテキストでは、著者はDoSと戦う独自のソリューションを開発する際に問題に遭遇したと書いています-場合によっては、少量の着信トラフィックと少数の受信パケットにもかかわらず、ネットワーク全体の速度が低下しました。 この影響は、高帯域幅チャネルを備え、有名なベンダーの高価な機器を使用している大企業クライアントでも見られました。



攻撃では、ICMPタイプ3「到達不能」メッセージ、具体的にはICMPタイプ3コード3「ポート到達不能」メッセージを使用します。 彼らの助けを借りて、ファイアウォールプロセッサを再起動できます。これにより、サービス拒否が発生します。 実験によると、同様の方法を使用した1台のラップトップを使用して、180 Mbpsの容量で攻撃を実行することが可能です。



TDCの専門家の出版物は、これらのパケットがプロセッサフ​​ァイアウォール時間をそれほど消費しない理由を述べていませんが、SANS Technology Instituteのセキュリティ専門家Hans Ulrichは、多くのリソースを必要とするステートフルパケット分析を試みるファイアウォールである可能性があることを示唆しました。



「とにかく異なるファイアウォールでは、負荷が増加しました。 攻撃を実行する過程で、ファイアウォールの背後にあるLANのユーザーは、インターネットとの間でトラフィックを送受信する機能を失い、攻撃が停止した後、機能が復元されました」と研究者は彼らの文書に書いています。



TDCの専門家によると、次の製品は脆弱です。

• Cisco ASA 5506、5515、5525（標準設定を使用）
• Cisco ASA 5550（レガシー）および5515-X（最新世代）
• Cisco Router 897（攻撃を防ぐことができます）
• SonicWall（標準構成を変更することで問題が解決します）
• パロアルト
• Zyxel NWA3560-N（LAN側からのワイヤレス攻撃）
• チクセルZywall USG50

iptablesを介して動作するファイアウォールは、攻撃の影響を受けません。

自分を守る方法

特定のシステムが脆弱かどうかを調べるには、ファイアウォールのWAN側でICMPを有効にし、Hping3を使用してテストを実行し、ネットワークからインターネットに接続しようとします。 次のhping3コマンドを使用できます。

hping3 -1 -C 3 -K 3 -i u20 <target ip> hping3 -1 -C 3 -K 3 --flood <target ip>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

研究者は、BlackNurse攻撃を検出するSNORT IDSルールも導入しました。

 alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC – Possible BlackNurseattack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;) alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC –Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

さまざまな方法を使用して、リスクを最小限に抑えることができます。 特に、専門家は、ICMPパケットを受信するファイアウォールで信頼できるリソースのリストを設定することをお勧めします。 さらに、WAN側でICMPタイプ3コード3を無効にすることは理にかなっています。



新しいMaxPatrol SIEMハードウェアおよびソフトウェアシステムを使用するなど、専用のセキュリティツールを使用することにより、サイバー攻撃を複雑にし、大規模な漏洩を防ぎ、情報セキュリティインシデントの結果を軽減することができます。



MaxPatrol SIEMを使用すると、ME、IPS \ IDSシステムから受信したデータ、またはNetwork Sensorのエージェントによって収集されたデータを分析できます。これにより、BlackNurseなどの攻撃を時間内に検出および通知できます。 同時に、SIEMの高品質な実装により、特定の攻撃準備のロジックを記述すると、システムは、このクラスのすべての攻撃を、非常に複雑な階層的に異種のインフラストラクチャの境界の外側と内側の両方で検出できるようになるという事実を達成できます。



11月17日の14:00に、SIEMセールスサポート責任者のVladimir Benginによる無料のウェビナーでMaxPatrolの例を使用して、SIEMシステムの実装と運用の理論と実践について学ぶことができます。



こちらからウェビナーに登録してください