Akamai: Warnung vor neuen aggressiven DDoS-Angriffen

Ein neuer DDoS-Angriffsvektor (Distributed Denial of Service) mit einer potenziellen Amplification Rate (auf Deutsch: Verstärkungsrate) von rekordverdächtigen 4,3 Milliarden wurde von Angreifern genutzt, um mehrere hochwirksame Attacken zu starten. Eine hohe Amplification Rate macht es einfacher, Systeme mit wenigen Paketen zu überwältigen.

Nach Angaben von Akamai-Forschern wurden die Angriffe Mitte Februar 2022 beobachtet. Sie richteten sich gegen Anbieter von Breitband-Internetzugängen, Finanzinstitute, Logistik- und Glücksspielunternehmen sowie verschiedene Organisationen in anderen Branchen.

Nach einer gründlichen Analyse kam heraus, dass es sich bei den für die Angriffe verwendeten Geräten um die MiCollab- und MiVoice-Business-Express-Systeme des Herstellers Mitel handelt, die über VoIP-Verarbeitungskarten und unterstützende Software verfügen. Deren Hauptfunktion liegt in der Herstellung von Sprachverbindungen zu internetbasierten PBX-Systemen. Um das Problem zu beheben, das den öffentlichen Zugang zu den Testeinrichtungen der Systeme ermöglichte, arbeitet Mitel nun mit den betroffenen Kunden zusammen.

Nach Angaben von Akamai waren die Spitzen im Netzwerk-Verkehr im Zusammenhang mit dem anfälligen Dienst bereits am 8. Januar und am 7. Februar zu beobachten – die ersten echten Angriffe unter Ausnutzung der Schwachstelle sollen jedoch erst am 18. Februar erfolgt sein. Dabei kamen fälschlicherweise etwa 2.600 Mitel-Geräte mit einem Test-Feature zum Einsatz, das sie für die Angriffe anfällig machte. Die Geräte fungierten dabei als PBX-Gateways zum Internet.

Der neue Angriffsvektor unterscheidet sich von den meisten anderen Methoden folgendermaßen: In einer Testanlage erfolgen über eine Dauer von bis zu 14 Stunden beständige DDoS-Attacken, wobei nur ein einziges Paket zur Angriffsinitiierung verwendet wird. Dieses Vorgehen führt zu einer Rekord-Verstärkungsrate von 4.294.967.296:1. Ein kontrollierter Test dieses Vektors ergab einen anhaltenden DDoS-Angriffsverkehr von mehr als 400 Mpps.

Darüber hinaus kann dieses einzelne Paket, das den Angriff einleitet, die Rückverfolgung durch die Netzbetreiber erschweren – denn es hilft bei der Verschleierung der Attacken-Infrastruktur, die den Datenverkehr erzeugt. Dadurch ist es weniger wahrscheinlich, dass der Ursprung des Angriffs entdeckt wird. Bei den meisten anderen reflektierten und verstärkten DDoS-Vektoren muss der Angreifer hingegen kontinuierlich bösartigen Datenverkehr an die anfälligen Knoten übertragen, wenn er die Attacke aufrechterhalten will.

Als Folge dieser neuartigen Angriffe auf Mitel-MiCollab- und -MiVoice-Business-Express-Systeme im Internet können sowohl die Sprachkommunikation als auch andere Dienste teilweise oder vollständig unterbrochen sein. Der Grund dafür liegt nicht nur im ausgesprochen hohen Kapazitätsverbrauch beim Datenverkehr, sondern auch in der Überlastung der Tabellen zur Netzwerkadressenübersetzung sowie der Firewalls.

Weitere Angriffe

In den letzten Wochen beobachteten Forscher von Akamai auch DDoS-Angriffs-Kampagnen gegen Kunden. Diese beinhalteten Datenverkehrsvolumina von bis zu 11 Gbit/s mit 1,5 Millionen Paketen pro Sekunde. Auch SYN-Techniken kamen zum Einsatz. Hierbei handelt es sich um eine Form des Denial-of-Service-Angriffs: Ein Aggressor initiiert eine Verbindung besonders schnell und hält sie aufrecht, um den Verbrauch an Serverressourcen unnötig in die Höhe zu treiben.

Bei der Untersuchung der für den Angriff verwendeten Pakete stellte Akamai fest, dass eine Technik namens TCP Middlebox Reflection benutzt wurde. Forscher der University of Maryland sowie der University of Colorado Boulder stellten diese erstmals im August 2021 in einem Paper als völlig neuen Angriffsvektor vor.

Eine Middlebox ist ein Gerät im Netzwerk, das sich in den Pfad zwischen zwei kommunizierenden Hosts einfügt. Dort ist sie in der Lage, während der Übertragung Pakete zu überwachen, zu filtern oder umzuwandeln. Im Gegensatz zu herkömmlichen Netzwerkgeräten wie Routern und Switches konzentrieren sich Middleboxen nicht nur auf die Paket-Header, sondern auch auf deren Inhalt. Solche Middleboxen werden häufig zur Durchsetzung von Zensurgesetzen auf Landesebene oder im Rahmen von Unternehmensrichtlinien zur Inhaltsfilterung eingesetzt.

Bei Reflexionsangriffen trifft die Flut von Paketen hingegen den Empfänger, wobei die IP-Quelladresse durch die IP des Opfers ersetzt wird. Dadurch glaubt der Empfänger, das Paket des Opfers erhalten zu haben und sendet ihm eine Antwort. Diese reflektiert wiederum den Effekt des Angriffs und erhöht Schaden weiter.

Im Falle der TCP-Middlebox-Reflection-Methode zielen die Reflexionsangriffe ganz spezifisch auf die Middleboxen. Forscher haben gezeigt, dass böswillige Agenten eine Middlebox mit der IP-Adresse des Opfers triggern können, indem sie eine Webseite anfordern, die bekanntermaßen gefiltert wird. Die Middlebox sendet dann eine Nachricht mit dieser Antwortseite an das Opfer.

Akamai führt einige Beispiele für diese Art von Verstärkungsangriff an: In einem erzeugte ein einziges SYN-Paket mit einer Nutzlast von 33 Byte eine Antwort von 2.156 Byte aus – das entspricht einem Verstärkungsfaktor von 65. In einem anderen Fall löste eine einzige Anfrage eines Angreifers aus unbekanntem Grund eine Endlosschleife aus, weil die Middlebox die Antwort an ihre eigene Adresse schickte.

Die Forscher fanden heraus, dass es weltweit Hunderttausende schlecht konfigurierte und somit anfällige Middlebox-Systeme gibt, die für TCP-Middlebox-Reflection-Angriffe ausgenutzt werden können. Laut Akamai senken diese Attacken die Hürden für DDoS-Angriffe in einem gefährlichen Maß – denn in manchen Fällen ist nur 1/75 der Bandbreite nötig, um zu verursachen. „Wir haben mehrere Fehler in der Konfiguration von Middleboxen gefunden, die auf technischer Ebene zu einer unendlichen Verstärkung der Angriffe führen können. Das Senden eines einzigen Pakets kann einen endlosen Strom von Paketen gegen das Opfer zu auslösen“, heißt es in dem Aufsatz.

Empfohlene Maßnahmen

Laut Akamai leiten sich TP-240-Reflection/Amplification-DDoS-Angriffe von UDP/10074 ab und sind für den UDP-Port nach Wahl des Angreifers bestimmt. Mithilfe von Standard-DDoS-Abwehr-Tools und -Techniken lässt sich dieser verstärkte Angriffsverkehr erkennen, klassifizieren, zurückverfolgen und auch sicher ausschalten.

Daneben können Flow-Telemetrie und Paketaufzeichnung über kommerzielle oder Open-Source- Analysesysteme die Netzbetreiber und Endkunden vor TP-240-Reflection/Amplification-Angriffen warnen.

Um diese Attacken abzuwehren, können außerdem Netzwerk-Zugangskontrolllisten (ACLs), Flowspec, zielbasiertes ferngesteuertes Blackhole, quellenbasiertes ferngesteuertes Blackhole sowie intelligente DDoS-Minderungssysteme eingesetzt werden.

Netzwerkbetreiber sollten zudem Aufklärungsarbeit leisten, um missbräuchliche TP-240-Reflektoren und -Verstärker in ihren Netzwerken und/oder denen ihrer Kunden zu identifizieren – und somit die Beseitigung zu erleichtern. Betreibern von Mitel-MiCollab- und -MiVoice-Business-Express-Kollaborationssystemen wird außerdem die proaktive Kontaktaufnahme zu Mitel empfohlen. So erhalten sie spezifische Anweisungen zur Abhilfe direkt vom Hersteller.

Auch Organisationen, die geschäftskritische und öffentlich zugängliche Internet-Objekte und/oder -Infrastrukturen betreiben, müssen unbedingt auf Sicherheit achten: Alle Server, Dienste, Anwendungen, Datenspeicher und Infrastrukturelemente sollten gegen DDoS-Angriffe geschützt sein. Dazu sind auch regelmäßige realistische Tests des DDoS-Abwehrplans nötig. Kritische Hilfsmittel und Zusatzdienste, wie autoritative und rekursive DNS-Server, müssen ebenfalls Teil dieser Abwehrstrategie sein.

Darüber hinaus sollten Netzwerkbetreiber eine Methode zur Validierung der Eingangs- und Ausgangsadressen einführen, um Angreifer am Start von Reflection-/Amplification-DDoS-Angriffe zu hindern.

Benutzer von TP-240-basierten Mitel-MiCollab- und -MiVoice-Business-Express-Kollaborationssystemen, die mit dem Internet verbunden sind, können den Missbrauch ihrer Systeme zum Start von DDoS-Angriffen ebenfalls unterbinden: Denn über ACLs, Firewall-Regeln und andere Standardmechanismen zur Durchsetzung von Richtlinien zur Netzwerkzugriffskontrolle lässt sich der eingehende Internet-Traffic für UDP/10074 blockieren.

Mitel hat gepatchte Softwareversionen zur Verfügung gestellt, die verhindern, dass der Dienst dem Internet ausgesetzt ist. So soll der Missbrauch von mit TP-240 ausgestatteten MiCollab- und MiVoice-Business-Express-Kollaborationssystemen als DDoS-Reflektoren bzw. -Verstärker unterbunden werden. Mitel-Kunden sollten den Anbieter kontaktieren, um konkrete Hilfestellung bei der Behebung des Problems zu erhalten.

Kollaterale Auswirkungen auf missbräuchlich einsetzbare TP-240-Reflektoren bzw. -Verstärker können Netzbetreiber und/oder Endkunden dazu veranlassen, die betroffenen Systeme aus Netzwerken der „entmilitarisierten Zone“ sowie aus Internet-Rechenzentren zu entfernen. Alternativ lassen sich auch einschlägige UDP-Port-Forwarding-Regeln deaktivieren, die es ermöglichen, dass spezifischer UDP/10074-Verkehr aus dem öffentlichen Internet diese Geräte erreicht. Auch dadurch kann deren Missbrauch für Reflection-/Amplification-DDoS-Angriffe verhindert werden.

Der verstärkte Angriffsverkehr wird nicht fragmentiert, sodass es keine zusätzliche Angriffskomponente gibt. Bei vielen anderen UDP-Reflection-/Amplification-DDoS-Vektoren besteht diese aus nicht-initialen Fragmenten.

Wird eine Validierung von Eingangs- und Ausgangsquellenadressen (SAV; auch bekannt als Anti-Spoofing) implementiert, kann dies mögliche Angreifer ebenfalls an Reflection-/Amplification-DDoS-Attacken hindern.

Leider sind noch immer viele missbräuchlich verwendbare Dienste, die nicht dem öffentlichen Internet ausgesetzt sein sollten, dennoch für Angreifer nutzbar. Dieses Szenario verdeutlicht erneut die Realität bei Implementierungen, in der Herstellerrichtlinien häufig missachtet werden. Produzenten könnten solche Situationen allerdings verhindern, indem sie vor der Auslieferung der Geräte eine „sichere Standardeinstellung“ festlegen.

Reflection-/Amplification-DDoS-Angriffe wären unmöglich, wenn alle Netzbetreiber Ingress- und Egress-SAV (oder Anti-Spoofing) einsetzen würden. Denn die Voraussetzung für solche Attacken ist vor allem die Möglichkeit, die IP-Adressen der Angriffsziele zu fälschen. Dienstanbieter müssen SAV außerdem in ihren eigenen Netzwerken implementieren – und ihre Downstream-Kunden ebenfalls dazu verpflichten.

Zunächst schien die TP-240-Reflexion bzw. -Verstärkung nur von fortgeschrittenen Angreifern mit Zugang zu maßgeschneiderter DDoS-Angriffsinfrastruktur als Waffe eingesetzt worden zu sein. Wie bei neueren DDoS-Angriffsvektoren üblich, ist sie mittlerweile aber bereits Teil des Arsenals sogenannter „Booter/Stresser“-DDoS-for-hire-Services und ist somit auch für allgemeine Aggressoren zugänglich.

Die Zusammenarbeit zwischen Betreibern, Forschern und Anbietern ist von zentraler Bedeutung, um die Funktionsfähigkeit des Internets zu erhalten. Nur durch eine solche Zusammenarbeit waren eine schnelle Reaktion auf diesen hochwirksamen DDoS-Angriffsvektor sowie dessen anhaltende Beseitigung möglich. Organisationen, die ein Interesse an der Stabilität und Widerstandsfähigkeit des Internets haben, sollten branchenübergreifende Kooperationsbemühungen als Kernprinzip begrüßen und unterstützen.

Die gemeinsamen Anstrengungen der Taskforce für Forschung und Schadensbegrenzung zeigen nicht nur, dass eine erfolgreiche Zusammenarbeit zwischen Branchenkollegen zur raschen Beseitigung von solchen Bedrohungen möglich ist – sie wird vor allem für die zukünftige Rentabilität des globalen Internets immer wichtiger.