Neue Angriffstechnik: Loop DoS legt per UDP-Datenflut ganze Server und Netze lahm

Yepeng Pan und Prof. Dr. Christian Rossow, zwei Forscher des deutschen Cispa-Helmholtz-Zentrums für Informationssicherheit, haben einen neuen Denial-of-Service-Angriff namens Loop DoS vorgestellt. Damit sei es möglich, auf der Anwendungsschicht gängiger Netzwerkprotokolle endlose Anfrageschleifen zu verursachen, heißt es in einer Pressemitteilung der Forschungseinrichtung.

Anfällig seien Internetprotokolle, die zur Datenübertragung auf das User Datagram Protocol (UDP) zurückgriffen – darunter aktuelle Protokolle wie DNS, NTP oder TFTP sowie auch Legacy-Protokolle wie QOTD, Chargen oder Echo. Die Forscher nehmen an, dass Loop DoS derzeit rund 300.000 Internethosts und deren Netzwerke gefährdet.

Server fluten sich gegenseitig mit Fehlermeldungen

Die Angriffe basieren der Mitteilung zufolge auf IP-Spoofing und können von einem einzigen Host ausgelöst werden. Angreifern sei es etwa möglich, einen Loop zwischen zwei anfälligen TFTP-Servern auslösen, indem sie nur eine einzige Fehlermeldung mit einer gefälschten IP-Adresse absetzten, erklärt Rossow.

Die beiden Systeme überfluten sich daraufhin gegenseitig mit TFTP-Fehlermeldungen, indem sie immer wieder auf die Nachricht des jeweils anderen Servers antworten. Eine einmal ausgelöste Attacke lässt sich vom Angreifer angeblich nicht mehr unterbrechen.

"Das würde nicht nur beide Server belasten, sondern auch die Netzwerkverbindung zwischen ihnen", so der Forscher. Ist die Datenflut groß genug, so setzt dies nicht nur die involvierten Systeme, sondern unter Umständen auch damit verbundene Netzwerke gänzlich außer Betrieb.

Pan betont in diesem Zusammenhang, bestehende Erkennungsverfahren für Endlosschleifen auf der Netzwerkebene seien nicht in der Lage, einen Loop-DoS-Angriff zu unterbrechen. "Die Loops auf der Anwendungsschicht, die wir entdeckt haben, unterscheiden sich von den bereits bekannten Loops auf der Netzwerkschicht", erklärt der Forscher.

Gemischte Reaktionen der Hersteller

Hersteller von für Loop DoS anfälligen Systemen wurden nach Angaben der Forscher schon im Dezember 2023 über das Problem informiert. Dem Cert Coordination Center der Carnegie Mellon University zufolge bestätigten mit Broadcom, Cisco, Honeywell, Microsoft und Mikrotik bisher fünf Hersteller eine Anfälligkeit. Als weitere potenziell betroffene Hersteller nennen die Cispa-Forscher unter anderem Zyxel, TP-Link, D-Link, Arris und Brother.

Teilweise wurden schon Patches bereitgestellt, teilweise wird noch daran gearbeitet. In einigen Fällen wurde aber auch darauf verwiesen, dass die anfälligen Produkte nicht mehr unterstützt werden. Nicht auf allen Systemen scheint das Problem also tatsächlich behoben zu werden.

Laut Rossow gibt es bisher noch keine Hinweise auf in der Praxis ausgeführte Loop-DoS-Attacken. Für Angreifer sei es jedoch leicht, diese Sicherheitsanfälligkeit auszunutzen.