Команда исследователей в области кибербезопасности обнаружила более 4 миллионов уязвимых интернет-хостов, которые могут быть использованы для организации разрушительных атак типа «отказ в обслуживании» (DoS). Это одна из самых масштабных угроз инфраструктурной безопасности, выявленных за последние годы. Исследование, проведенное Ангелосом Бейтисом и Мати Ванхоефом из DistriNet при Лёвенском католическом университете (KU Leuven), показало, что миллионы устройств по всему миру принимают туннелированный трафик без аутентификации, создавая огромный риск для глобальной сети.
Сканирование интернета выявило 3 527 565 уязвимых хостов с IPv4-адресами и 735 628 - с IPv6, расположенных в 218 странах и территориях. Такое количество потенциально уязвимых устройств делает возможным запуск атак невиданного ранее масштаба.
Особую опасность представляют две новые методики атак, использующие уязвимости в системах туннелирования. Первая из них, получившая название Tunneled-Temporal Lensing (TuTL), позволяет концентрировать вредоносный трафик во времени, усиливая его воздействие на цель с коэффициентом усиления не менее 16. Эта техника требует скоординированного взаимодействия между множеством уязвимых хостов, которые направляют пакеты так, чтобы они одновременно достигали цели.
Еще более разрушительной является атака Ping-Pong, при которой злоумышленники заставляют пакеты циркулировать между уязвимыми устройствами, многократно усиливая объем передаваемого трафика. В результате коэффициент усиления может достигать 75 и более, что делает этот метод исключительно эффективным для перегрузки серверов-жертв.
Помимо традиционных DoS-атак, исследователи обнаружили атаку Economic Denial of Sustainability (EDoS), направленную на облачные сервисы. Ее суть заключается в том, что злоумышленники заставляют уязвимые хосты генерировать огромные объемы исходящего трафика, что приводит к резкому росту расходов жертвы на облачные вычисления. В некоторых случаях это может полностью парализовать работу компании или привести к ее банкротству.
Проблема затрагивает ключевые протоколы туннелирования, включая IP-in-IP (IPIP), Generic Routing Encapsulation (GRE), IPv4-in-IPv6 (4in6) и IPv6-in-IPv4 (6in4). Особую тревогу вызывает тот факт, что около 1,86 миллиона хостов позволяют злоумышленникам подменять исходные IP-адреса, что подрывает основы безопасности интернета.
Географически наибольшее количество уязвимых устройств находится в Китае (59% от общего числа), однако проблема носит глобальный характер. Среди пострадавших - крупные провайдеры контента и хостинг-компании, которые используют устаревшие или неправильно настроенные системы.
Для устранения угрозы исследователи рекомендуют администраторам сетей внедрить фильтрацию исходных адресов и рассмотреть возможность использования IPsec для аутентификации туннельного трафика. Также предлагается внедрить глубокий анализ пакетов для выявления вредоносных вложенных туннелей и, по возможности, блокировать незашифрованные протоколы туннелирования.
Опубликованные уязвимости получили идентификаторы CVE-2024-7595, CVE-2024-7596, CVE-2025-23018 и CVE-2025-23019. Координацией устранения угрозы занимаются CERT/CC, фонд Shadowserver и затронутые организации.
Это исследование подчеркивает, насколько опасными могут быть устаревшие протоколы без должной защиты в условиях современного интернета. Бездействие может привести к катастрофическим последствиям для мировой инфраструктуры, поэтому срочные меры по устранению уязвимостей должны стать приоритетом для всех участников цифровой экосистемы.
