Cisco ASA 5540 er blant flere berørte brannmurer, ifølge forskerne. Illustrasjonsfoto. (Bilde: Dave Habben, Creative Commons)

BlackNurse

Advarer mot ICMP “ping-of-death”

– Slår ut brannmuren. Angrepet krever lite båndbredde.

Sikkerhetseksperter fra danske TDC har oppdaget en ny sårbarhet som berører brannmurer fra flere ulike leverandører.

De siste to årene har selskapet registrert nærmere hundre angrep over Internet Control Message-protokollen (ICMP) mot egne kunder. Angrepet har de valgt å kalle «BlackNurse».

I motsetning til mer vanlige ping flood-angrep benyttes det Type 3 og Code 3-datapakker. Dette er feilmeldinger som i henhold til ICMP-standarden er ment å signalisere henholdsvis «destination unreachable» og «port unreachable».

Overbelaster prosessoren

En bærbar pc og en beskjeden bredbåndslinje er ifølge TDC nok til å lamme infrastruktur med langt mer kapasitet.

BlackNurse-angrepet er svært effektivt også ved bruk av lite båndbredde. Det er tilstrekkelig med rundt 15-18 Mbit/s, heter det i rapporten (.pdf).

– Det hjelper ikke om du har en 1 Gbit/s internettlinje. Effekten er at CPU-lasten på ulike brannmurer blir svært høy. Under et pågående angrep kan ikke lenger brukere fra LAN-siden av brannmuren sende eller motta trafikk til og fra internett, skriver forskerne.

Flere brannmurer berørt

TDC har fått opprettet et eget nettsted for BlackNurse. Der ramser de opp hvilke brannmurer som skal være berørt av sårbarheten. Det inkluderer modeller fra flere produsenter, deriblant Cisco, SonicWall, Palo Alto og Zyxel.

Hvorfor de berørte brannmurproduktene blir overbelastet av ICMP-pakkene er mer uklart, men flere av modellene later til å være av eldre årgang. 

Forskere ved SANS Internet Storm Center tror at logging i brannmurene er involvert. Dette er en teori som styrkes av TDCs egen beskrivelse av angrepet, skriver Kaspersky Lab på sitt nettstedet Threat Post.

TDC gir det rådet at systemadministratorer kan konfigurere brannmuren til ikke å godta ICMP Type 3 Code 3-meldinger. Men dette kan skape problemer for IPSec- og PPTP-trafikk, skriver Cisco i en annen sammenheng. Et bedre råd kan derfor være å begrense innkommende ICMP-trafikk, ifølge en analyse fra det svenske sikkerhetsselskapet Netresec.

Kommentarer (8)

Kommentarer (8)
Til toppen