Эксперты СайберОК помогли выявить уязвимость в Webmin UDP/10000: Loop DoS (COK-2024-05-05)

Эксперты СайберОК – Сергей Гордейчик и Александр Черненьков – помогли выявить уязвимость в Webmin, которая могла быть использована для проведения атаки Loop DoS (CVE-2024-2169). 

Webmin — популярная система управления серверами с более чем 1 000 000 установок по всему миру. 

Webmin/Virtualmin используют обнаружение сервисов UDP, обычно работающее на порту UDP/10000. Эта служба отвечает на любой запрос UDP IP-адресом и портом, на котором доступна панель управления. 

Такое поведение может использоваться для реализации атаки Loop DoS (CVE-2024-2169 и т. д.) путем отправки пакетов UDP с поддельным исходным ip-портом с использованием другого IP-адреса экземпляра Webmin, что может привести к бесконечному обмену трафиком между хостами, отказу в обслуживании (DOS) и/или злоупотреблению.

Loop DoS — это атака типа «отказ в обслуживании», нацеленная на протоколы прикладного уровня, использующие UDP для связи. 

Первоначально циклические DoS-атаки на прикладном уровне были обнаружены исследователями CISPA ЙепенгомПаном, Анной Эшман и доктором Кристианом Россоу. Они подтвердили наличие уязвимостей в реализациях TFTP, DNS и NTP, а также в шести устаревших протоколах Daytime, Time, Active Users, Echo, Chargen и QOTD. Эти протоколы широко используются для обеспечения базовых функций в Интернете. 

Циклические DoS-атаки прикладного уровня основаны на подмене IP-адреса и могут быть запущены с одного хоста, способного к подмене. “Например, злоумышленники могут вызвать цикл, включающий два неисправных TFTP-сервера, путем отправки одного сообщения об ошибке с подмененным IP-адресом. После этого уязвимые серверы продолжали бы отправлять друг другу сообщения об ошибках TFTP, создавая нагрузку на оба сервера и на любое сетевое соединение между ними”,