Af Torben B. Sørensen, 15/11/16
Sikkerhedsforskere har opdaget en ny type DDoS-angreb, BlackNurse. Det overbelaster nogle typer af firewalls og routere ved at sende særlige ICMP-pakker til dem.
Angreb med ICMP (Internet Control Message Protocol) er velkendte. De består typisk i, at angriberne sender store mængder ICMP-pakker til offeret. ICMP bruges blandt andet af kommandoen Ping til at finde ud af, om en IP-adresse er aktiv.
Teleselskabet TDC's sikkerhedscenter observerede imidlertid nogle angreb, der virkede, selvom der kun blev sendt moderate mængder af ICMP-pakker.
Årsagen viste sig at være, at pakkerne krævede mange ressourcer i de firewalls og routere, der behandlede dem.
Pakkerne er kendetegnet ved, at de er ICMP-pakker Type 3 Code 3.
Man kan beskytte sig mod angrebet ved at slå svar på den type pakker fra. Men det kan give problemer med VPN-teknologier (virtuelt privat netværk).
Ifølge sikkerhedsfirmaet Netresec er følgende enheder sårbare. For nogles vedkommende gælder det dog kun, hvis man har ændret på standardopsætningen.
- Cisco ASA 5506, 5515, 5525, 5540)
- Cisco ASA 5550 og 5515-X
- Cisco Router 897
- Palo Alto
- SonicWall
- Zyxel NWA3560-N
- Zyxel Zywall USG50
Anbefaling
Følg anvisningerne fra TDC og producenterne.
Links
- The BlackNurse Attack, TDC
- BlackNurse Denial of Service Attack, Netresec
- Note to Customers Regarding BlackNurse Report, Palo Alto