BlackNurse ammazza i firewall con un ping

Un nuovo attacco telematico prende di mira gli apparati di rete, con l'obiettivo di renderli inservibili impiegando solo una modesta quantità di traffico non desiderato. Traffico che potrebbe risultare difficile da filtrare

Roma – La nuova idea in fatto di cyber-attacchi a bassa intensità si chiama BlackNurse , e secondo i ricercatori che l’hanno analizzata rappresenta un rischio niente affatto ipotetico per gli apparati di rete commercializzati da alcuni dei più importanti produttori mondiali.

BlackNurse prende infatti di mira i firewall hardware marchiati Cisco, Zyxel e Palo Alto. SonicWall, ricevuta e analizzata la segnalazione dei ricercatori, ha invece verificato che i propri apparati sono sicuri. L’attacco consiste nell’invio di un flusso di pacchetti di dati spediti tramite il protocollo ICMP . Lo standard rappresenta un protocollo di “supporto” ai tradizionali TCP e UDP, e generalmente non viene utilizzato per trasmettere dati ma solo informazioni operative e messaggi di errore scambiati tra i dispositivi di rete come router e appunto firewall.

Il protocollo ICMP è utilizzato anche dalle utility per la diagnostica di rete come ping e traceroute, e nel caso di BlackNurse viene usato per trasmettere messaggi di errore di Tipo 3, Codice 3 – messaggi che stanno a indicare una destinazione e una porta irraggiungibili.

Secondo quanto sostengono i ricercatori, basta un volume di traffico a dir poco moderato (15-18 Mbps, circa 40.000 pacchetti di dati al secondo) per mandare in crisi le CPU dei succitati firewall hardware, con il risultato finale di inibire la capacità di processare le informazioni e spingere l’intera rete offline.

Gli esperti si sono detti sorpresi dell’efficacia del nuovo attacco, che può risultare funzionante indipendentemente da data rate del link Internet ed è dotato di caratteristiche difficili da fronteggiare: il blocco totale del traffico ICMP potrebbe risultare impossibile sui dispositivi di rete presi di mira da BlackNurse, e avere comunque effetti negativi sulla gestione del traffico su sessioni IPSec o PPTP.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti