BlackNurse-angreb overbelaster firewalls og routere

Sikkerhedsforskere har opdaget en ny type DDoS-angreb, BlackNurse. Det overbelaster nogle typer af firewalls og routere ved at sende særlige ICMP-pakker til dem.

Angreb med ICMP (Internet Control Message Protocol) er velkendte. De består typisk i, at angriberne sender store mængder ICMP-pakker til offeret. ICMP bruges blandt andet af kommandoen Ping til at finde ud af, om en IP-adresse er aktiv.

Teleselskabet TDC's sikkerhedscenter observerede imidlertid nogle angreb, der virkede, selvom der kun blev sendt moderate mængder af ICMP-pakker.

Årsagen viste sig at være, at pakkerne krævede mange ressourcer i de firewalls og routere, der behandlede dem.

Pakkerne er kendetegnet ved, at de er ICMP-pakker Type 3 Code 3.

Man kan beskytte sig mod angrebet ved at slå svar på den type pakker fra. Men det kan give problemer med VPN-teknologier (virtuelt privat netværk).

Ifølge sikkerhedsfirmaet Netresec er følgende enheder sårbare. For nogles vedkommende gælder det dog kun, hvis man har ændret på standardopsætningen.

  • Cisco ASA 5506, 5515, 5525, 5540)
  • Cisco ASA 5550 og 5515-X
  • Cisco Router 897
  • Palo Alto
  • SonicWall
  • Zyxel NWA3560-N
  • Zyxel Zywall USG50

Anbefaling

Følg anvisningerne fra TDC og producenterne.

Links