La nuova idea in fatto di cyber-attacchi a bassa intensità si chiama BlackNurse , e secondo i ricercatori che l’hanno analizzata rappresenta un rischio niente affatto ipotetico per gli apparati di rete commercializzati da alcuni dei più importanti produttori mondiali.
BlackNurse prende infatti di mira i firewall hardware marchiati Cisco, Zyxel e Palo Alto. SonicWall, ricevuta e analizzata la segnalazione dei ricercatori, ha invece verificato che i propri apparati sono sicuri. L’attacco consiste nell’invio di un flusso di pacchetti di dati spediti tramite il protocollo ICMP . Lo standard rappresenta un protocollo di “supporto” ai tradizionali TCP e UDP, e generalmente non viene utilizzato per trasmettere dati ma solo informazioni operative e messaggi di errore scambiati tra i dispositivi di rete come router e appunto firewall.
Il protocollo ICMP è utilizzato anche dalle utility per la diagnostica di rete come ping e traceroute, e nel caso di BlackNurse viene usato per trasmettere messaggi di errore di Tipo 3, Codice 3 – messaggi che stanno a indicare una destinazione e una porta irraggiungibili.
Secondo quanto sostengono i ricercatori, basta un volume di traffico a dir poco moderato (15-18 Mbps, circa 40.000 pacchetti di dati al secondo) per mandare in crisi le CPU dei succitati firewall hardware, con il risultato finale di inibire la capacità di processare le informazioni e spingere l’intera rete offline.
Gli esperti si sono detti sorpresi dell’efficacia del nuovo attacco, che può risultare funzionante indipendentemente da data rate del link Internet ed è dotato di caratteristiche difficili da fronteggiare: il blocco totale del traffico ICMP potrebbe risultare impossibile sui dispositivi di rete presi di mira da BlackNurse, e avere comunque effetti negativi sulla gestione del traffico su sessioni IPSec o PPTP.
Alfonso Maruccia
Ti potrebbe interessare
15 nov 2016