Атака BlackNurse вызывает отказ в работе брандмауэров через ICMP-пакеты

Мария Нефёдова, 11.11.2016

Первыми проблему обнаружили специалисты датской компании TDC, которая поставляет различные телекоммуникационные решения своим клиентам. В ходе анализа маломощной DDoS-атаки (всего 15-18 Мбит/с), предпринятой неизвестными злоумышленниками против одного из клиентов TDC, исследователи обратили внимание на странный ICMP-трафик.

Как пишут специалисты, сама атака не являлась проблемой, но их обеспокоили пакеты ICMP, которые прибывали со скоростью 40-50 тысяч в секунду и провоцировали «падение» сетевого оборудования клиентов.

Специалисты TDC назвали атаку BlackNurse, хотя такие атаки еще с 90-х годов называют ping-флудом. В данном случае совсем не важна мощность атаки, важен тип пакетов, отправляемых злоумышленниками. Атака строится на запросах ICMP Type 3 (Цель недоступна) Code 3 (Порт недоступен). Такие пакеты, как правило, отправляются в ответ источнику ping’ов, сообщая, что конкретный порт недоступен.

Как оказалось, такие атаки очень скверно сказываются на работе ряда современных файрволов. Используя BlackNurse, злоумышленники вызывают перегрузку CPU хоста, таким образом, LAN-пользователи оказываются отрезаны от интернета вообще. Что интересно, пока не совсем ясно, почему возникает такая проблема, и какие именно устройства находятся в группе риска. Специалисты TDC сообщили, что они обнаружили, что перед атакой BlackNurse уязвимы Cisco ASA файрволы (5515 и 5525 с настройками по умолчанию). Представители SANS Internet Storm Center высказали теорию, что баг как-то связан с функцией ведения логов.

Проблемой также заинтересовались и представители шведской компании NetreseC, разрабатывающей софт для сетевого оборудования. По данным исследователей, также уязвимы некоторые модели файрволов SonicWall и девайсы Palo Alto Network.

Исследователь и инженер компании OVH Френк Денис (Frank Denis) уже опубликовал на GitHub proof-of-concept код, с помощью которого администраторы могут проверить свое оборудование на устойчивость перед атакой BlackNurse.

Более подробная информация о проблеме доступна на официальном сайте бага и в техническом отчете (PDF) исследователей TDC. Так как представители Cisco, SonicWall и Palo Alto пока никак не прокомментировали ситуацию, эксперты TDC советуют защищаться от возможных атак своими силами. Для этого они советуют создать «список доверенных источников, для которых ICMP разрешен и настроен», а также «отключить ICMP Type 3 Code 3 для WAN-интерфейса». Также в отчете приведены Snort-правила для обнаружения атаки.