{"id":4160,"date":"2022-03-18T13:40:04","date_gmt":"2022-03-18T13:40:04","guid":{"rendered":"https:\/\/network-king.net\/akamai-warnung-vor-neuen-aggressiven-ddos-angriffen\/"},"modified":"2022-03-18T13:42:29","modified_gmt":"2022-03-18T13:42:29","slug":"akamai-warnung-vor-neuen-aggressiven-ddos-angriffen","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/akamai-warnung-vor-neuen-aggressiven-ddos-angriffen\/","title":{"rendered":"Akamai: Warnung vor neuen aggressiven DDoS-Angriffen"},"content":{"rendered":"\n<p>Ein neuer DDoS-Angriffsvektor (Distributed Denial of Service) mit einer potenziellen Amplification Rate (auf Deutsch: Verst\u00e4rkungsrate) von rekordverd\u00e4chtigen 4,3 Milliarden wurde von Angreifern genutzt, um mehrere hochwirksame Attacken zu starten. Eine hohe Amplification Rate macht es einfacher, Systeme mit wenigen Paketen zu \u00fcberw\u00e4ltigen.<\/p>\n\n\n\n<p>Nach Angaben von Akamai-Forschern wurden die Angriffe Mitte Februar 2022 beobachtet. Sie richteten sich gegen Anbieter von Breitband-Internetzug\u00e4ngen, Finanzinstitute, Logistik- und Gl\u00fccksspielunternehmen sowie verschiedene Organisationen in anderen Branchen.<\/p>\n\n\n\n<p>Nach einer gr\u00fcndlichen Analyse kam heraus, dass es sich bei den f\u00fcr die Angriffe verwendeten Ger\u00e4ten um die MiCollab- und MiVoice-Business-Express-Systeme des Herstellers Mitel handelt, die \u00fcber VoIP-Verarbeitungskarten und unterst\u00fctzende Software verf\u00fcgen. Deren Hauptfunktion liegt in der Herstellung von Sprachverbindungen zu internetbasierten PBX-Systemen. Um das Problem zu beheben, das den \u00f6ffentlichen Zugang zu den Testeinrichtungen der Systeme erm\u00f6glichte, arbeitet Mitel nun mit den betroffenen Kunden zusammen.<\/p>\n\n\n\n<p>Nach Angaben von Akamai waren die Spitzen im Netzwerk-Verkehr im Zusammenhang mit dem anf\u00e4lligen Dienst bereits am 8. Januar und am 7. Februar zu beobachten \u2013 die ersten echten Angriffe unter Ausnutzung der Schwachstelle sollen jedoch erst am 18. Februar erfolgt sein. Dabei kamen f\u00e4lschlicherweise etwa 2.600 Mitel-Ger\u00e4te mit einem Test-Feature zum Einsatz, das sie f\u00fcr die Angriffe anf\u00e4llig machte. Die Ger\u00e4te fungierten dabei als PBX-Gateways zum Internet.<\/p>\n\n\n\n<p>Der neue Angriffsvektor unterscheidet sich von den meisten anderen Methoden folgenderma\u00dfen: In einer Testanlage erfolgen \u00fcber eine Dauer von bis zu 14 Stunden best\u00e4ndige DDoS-Attacken, wobei nur ein einziges Paket zur Angriffsinitiierung verwendet wird. Dieses Vorgehen f\u00fchrt zu einer Rekord-Verst\u00e4rkungsrate von 4.294.967.296:1. Ein kontrollierter Test dieses Vektors ergab einen anhaltenden DDoS-Angriffsverkehr von mehr als 400 Mpps.<\/p>\n\n\n\n<p>Dar\u00fcber hinaus kann dieses einzelne Paket, das den Angriff einleitet, die R\u00fcckverfolgung durch die Netzbetreiber erschweren \u2013 denn es hilft bei der Verschleierung der Attacken-Infrastruktur, die den Datenverkehr erzeugt. Dadurch ist es weniger wahrscheinlich, dass der Ursprung des Angriffs entdeckt wird. Bei den meisten anderen reflektierten und verst\u00e4rkten DDoS-Vektoren muss der Angreifer hingegen kontinuierlich b\u00f6sartigen Datenverkehr an die anf\u00e4lligen Knoten \u00fcbertragen, wenn er die Attacke aufrechterhalten will.<\/p>\n\n\n\n<p>Als Folge dieser neuartigen Angriffe auf Mitel-MiCollab- und -MiVoice-Business-Express-Systeme im Internet k\u00f6nnen sowohl die Sprachkommunikation als auch andere Dienste teilweise oder vollst\u00e4ndig unterbrochen sein. Der Grund daf\u00fcr liegt nicht nur im ausgesprochen hohen Kapazit\u00e4tsverbrauch beim Datenverkehr, sondern auch in der \u00dcberlastung der Tabellen zur Netzwerkadressen\u00fcbersetzung sowie der Firewalls.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-weitere-angriffe\">Weitere Angriffe<\/h2>\n\n\n\n<p>In den letzten Wochen beobachteten Forscher von Akamai auch DDoS-Angriffs-Kampagnen gegen Kunden. Diese beinhalteten Datenverkehrsvolumina von bis zu 11 Gbit\/s mit 1,5 Millionen Paketen pro Sekunde. Auch SYN-Techniken kamen zum Einsatz. Hierbei handelt es sich um eine Form des Denial-of-Service-Angriffs: Ein Aggressor initiiert eine Verbindung besonders schnell und h\u00e4lt sie aufrecht, um den Verbrauch an Serverressourcen unn\u00f6tig in die H\u00f6he zu treiben.<\/p>\n\n\n\n<p>Bei der Untersuchung der f\u00fcr den Angriff verwendeten Pakete stellte Akamai fest, dass eine Technik namens TCP Middlebox Reflection benutzt wurde. Forscher der University of Maryland sowie der University of Colorado Boulder stellten diese erstmals im August 2021 <a href=\"https:\/\/geneva.cs.umd.edu\/papers\/usenix-weaponizing-ddos.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">in einem Paper<\/a> als v\u00f6llig neuen Angriffsvektor vor.<\/p>\n\n\n\n<p>Eine Middlebox ist ein Ger\u00e4t im Netzwerk, das sich in den Pfad zwischen zwei kommunizierenden Hosts einf\u00fcgt. Dort ist sie in der Lage, w\u00e4hrend der \u00dcbertragung Pakete zu \u00fcberwachen, zu filtern oder umzuwandeln. Im Gegensatz zu herk\u00f6mmlichen Netzwerkger\u00e4ten wie Routern und Switches konzentrieren sich Middleboxen nicht nur auf die Paket-Header, sondern auch auf deren Inhalt. Solche Middleboxen werden h\u00e4ufig zur Durchsetzung von Zensurgesetzen auf Landesebene oder im Rahmen von Unternehmensrichtlinien zur Inhaltsfilterung eingesetzt.<\/p>\n\n\n\n<p>Bei Reflexionsangriffen trifft die Flut von Paketen hingegen den Empf\u00e4nger, wobei die IP-Quelladresse durch die IP des Opfers ersetzt wird. Dadurch glaubt der Empf\u00e4nger, das Paket des Opfers erhalten zu haben und sendet ihm eine Antwort. Diese reflektiert wiederum den Effekt des Angriffs und erh\u00f6ht Schaden weiter.<\/p>\n\n\n\n<p>Im Falle der TCP-Middlebox-Reflection-Methode zielen die Reflexionsangriffe ganz spezifisch auf die Middleboxen. Forscher haben gezeigt, dass b\u00f6swillige Agenten eine Middlebox mit der IP-Adresse des Opfers triggern k\u00f6nnen, indem sie eine Webseite anfordern, die bekannterma\u00dfen gefiltert wird. Die Middlebox sendet dann eine Nachricht mit dieser Antwortseite an das Opfer.\r\n<\/p>\n\n\n\n<p>Akamai f\u00fchrt <a href=\"https:\/\/www.akamai.com\/blog\/security\/tcp-middlebox-reflection\" target=\"_blank\" rel=\"noreferrer noopener\">einige Beispiele<\/a> f\u00fcr diese Art von Verst\u00e4rkungsangriff an: In einem erzeugte ein einziges SYN-Paket mit einer Nutzlast von 33 Byte eine Antwort von 2.156 Byte aus \u2013 das entspricht einem Verst\u00e4rkungsfaktor von 65. In einem anderen Fall l\u00f6ste eine einzige Anfrage eines Angreifers aus unbekanntem Grund eine Endlosschleife aus, weil die Middlebox die Antwort an ihre eigene Adresse schickte.<\/p>\n\n\n\n<p>Die Forscher fanden heraus, dass es weltweit Hunderttausende schlecht konfigurierte und somit anf\u00e4llige Middlebox-Systeme gibt, die f\u00fcr TCP-Middlebox-Reflection-Angriffe ausgenutzt werden k\u00f6nnen. Laut Akamai senken diese Attacken die H\u00fcrden f\u00fcr DDoS-Angriffe in einem gef\u00e4hrlichen Ma\u00df \u2013 denn in manchen F\u00e4llen ist nur 1\/75 der Bandbreite n\u00f6tig, um zu verursachen. \u201eWir haben mehrere Fehler in der Konfiguration von Middleboxen gefunden, die auf technischer Ebene zu einer unendlichen Verst\u00e4rkung der Angriffe f\u00fchren k\u00f6nnen. Das Senden eines einzigen Pakets kann einen endlosen Strom von Paketen gegen das Opfer zu ausl\u00f6sen\u201c, <a href=\"https:\/\/geneva.cs.umd.edu\/posts\/usenix21-weaponizing-censors\/\" target=\"_blank\" rel=\"noreferrer noopener\">hei\u00dft es in dem Aufsatz<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Empfohlene Ma\u00dfnahmen<\/h2>\n\n\n\n<p>Laut Akamai leiten sich TP-240-Reflection\/Amplification-DDoS-Angriffe von UDP\/10074 ab und sind f\u00fcr den UDP-Port nach Wahl des Angreifers bestimmt. Mithilfe von Standard-DDoS-Abwehr-Tools und -Techniken l\u00e4sst sich dieser verst\u00e4rkte Angriffsverkehr erkennen, klassifizieren, zur\u00fcckverfolgen und auch sicher ausschalten.<\/p>\n\n\n\n<p>Daneben k\u00f6nnen Flow-Telemetrie und Paketaufzeichnung \u00fcber kommerzielle oder Open-Source- Analysesysteme die Netzbetreiber und Endkunden vor TP-240-Reflection\/Amplification-Angriffen warnen.<\/p>\n\n\n\n<p>Um diese Attacken abzuwehren, k\u00f6nnen au\u00dferdem Netzwerk-Zugangskontrolllisten (ACLs), Flowspec, zielbasiertes ferngesteuertes Blackhole, quellenbasiertes ferngesteuertes Blackhole sowie intelligente DDoS-Minderungssysteme eingesetzt werden.<\/p>\n\n\n\n<p>Netzwerkbetreiber sollten zudem Aufkl\u00e4rungsarbeit leisten, um missbr\u00e4uchliche TP-240-Reflektoren und -Verst\u00e4rker in ihren Netzwerken und\/oder denen ihrer Kunden zu identifizieren \u2013 und somit die Beseitigung zu erleichtern. Betreibern von Mitel-MiCollab- und -MiVoice-Business-Express-Kollaborationssystemen wird au\u00dferdem die proaktive Kontaktaufnahme zu Mitel empfohlen. So erhalten sie spezifische Anweisungen zur Abhilfe direkt vom Hersteller.<\/p>\n\n\n\n<p>Auch Organisationen, die gesch\u00e4ftskritische und \u00f6ffentlich zug\u00e4ngliche Internet-Objekte und\/oder -Infrastrukturen betreiben, m\u00fcssen unbedingt auf Sicherheit achten: Alle Server, Dienste, Anwendungen, Datenspeicher und Infrastrukturelemente sollten gegen DDoS-Angriffe gesch\u00fctzt sein. Dazu sind auch regelm\u00e4\u00dfige realistische Tests des DDoS-Abwehrplans n\u00f6tig. Kritische Hilfsmittel und Zusatzdienste, wie autoritative und rekursive DNS-Server, m\u00fcssen ebenfalls Teil dieser Abwehrstrategie sein.<\/p>\n\n\n\n<p>Dar\u00fcber hinaus sollten Netzwerkbetreiber eine Methode zur Validierung der Eingangs- und Ausgangsadressen einf\u00fchren, um Angreifer am Start von Reflection-\/Amplification-DDoS-Angriffe zu hindern.\r\n<\/p>\n\n\n\n<p>Benutzer von TP-240-basierten Mitel-MiCollab- und -MiVoice-Business-Express-Kollaborationssystemen, die mit dem Internet verbunden sind, k\u00f6nnen den Missbrauch ihrer Systeme zum Start von DDoS-Angriffen ebenfalls unterbinden: Denn \u00fcber ACLs, Firewall-Regeln und andere Standardmechanismen zur Durchsetzung von Richtlinien zur Netzwerkzugriffskontrolle l\u00e4sst sich der eingehende Internet-Traffic f\u00fcr UDP\/10074 blockieren.<\/p>\n\n\n\n<p>Mitel hat gepatchte Softwareversionen zur Verf\u00fcgung gestellt, die verhindern, dass der Dienst dem Internet ausgesetzt ist. So soll der Missbrauch von mit TP-240 ausgestatteten MiCollab- und MiVoice-Business-Express-Kollaborationssystemen als DDoS-Reflektoren bzw. -Verst\u00e4rker unterbunden werden. Mitel-Kunden sollten den Anbieter kontaktieren, um konkrete Hilfestellung bei der Behebung des Problems zu erhalten.<\/p>\n\n\n\n<p>Kollaterale Auswirkungen auf missbr\u00e4uchlich einsetzbare TP-240-Reflektoren bzw. -Verst\u00e4rker k\u00f6nnen Netzbetreiber und\/oder Endkunden dazu veranlassen, die betroffenen Systeme aus Netzwerken der \u201eentmilitarisierten Zone\u201c sowie aus Internet-Rechenzentren zu entfernen. Alternativ lassen sich auch einschl\u00e4gige UDP-Port-Forwarding-Regeln deaktivieren, die es erm\u00f6glichen, dass spezifischer UDP\/10074-Verkehr aus dem \u00f6ffentlichen Internet diese Ger\u00e4te erreicht. Auch dadurch kann deren Missbrauch f\u00fcr Reflection-\/Amplification-DDoS-Angriffe verhindert werden.<\/p>\n\n\n\n<p>Der verst\u00e4rkte Angriffsverkehr wird nicht fragmentiert, sodass es keine zus\u00e4tzliche Angriffskomponente gibt. Bei vielen anderen UDP-Reflection-\/Amplification-DDoS-Vektoren besteht diese aus nicht-initialen Fragmenten.<\/p>\n\n\n\n<p>Wird eine Validierung von Eingangs- und Ausgangsquellenadressen (SAV; auch bekannt als Anti-Spoofing) implementiert, kann dies m\u00f6gliche Angreifer ebenfalls an Reflection-\/Amplification-DDoS-Attacken hindern.<\/p>\n\n\n\n<p>Leider sind noch immer viele missbr\u00e4uchlich verwendbare Dienste, die nicht dem \u00f6ffentlichen Internet ausgesetzt sein sollten, dennoch f\u00fcr Angreifer nutzbar. Dieses Szenario verdeutlicht erneut die Realit\u00e4t bei Implementierungen, in der Herstellerrichtlinien h\u00e4ufig missachtet werden. Produzenten k\u00f6nnten solche Situationen allerdings verhindern, indem sie vor der Auslieferung der Ger\u00e4te eine \u201esichere Standardeinstellung\u201c festlegen.<\/p>\n\n\n\n<p>Reflection-\/Amplification-DDoS-Angriffe w\u00e4ren unm\u00f6glich, wenn alle Netzbetreiber Ingress- und Egress-SAV (oder Anti-Spoofing) einsetzen w\u00fcrden. Denn die Voraussetzung f\u00fcr solche Attacken ist vor allem die M\u00f6glichkeit, die IP-Adressen der Angriffsziele zu f\u00e4lschen. Dienstanbieter m\u00fcssen SAV au\u00dferdem in ihren eigenen Netzwerken implementieren \u2013 und ihre Downstream-Kunden ebenfalls dazu verpflichten.<\/p>\n\n\n\n<p>Zun\u00e4chst schien die TP-240-Reflexion bzw. -Verst\u00e4rkung nur von fortgeschrittenen Angreifern mit Zugang zu ma\u00dfgeschneiderter DDoS-Angriffsinfrastruktur als Waffe eingesetzt worden zu sein. Wie bei neueren DDoS-Angriffsvektoren \u00fcblich, ist sie mittlerweile aber bereits Teil des Arsenals sogenannter \u201eBooter\/Stresser\u201c-DDoS-for-hire-Services und ist somit auch f\u00fcr allgemeine Aggressoren zug\u00e4nglich.<\/p>\n\n\n\n<p>Die Zusammenarbeit zwischen Betreibern, Forschern und Anbietern ist von zentraler Bedeutung, um die Funktionsf\u00e4higkeit des Internets zu erhalten. Nur durch eine solche Zusammenarbeit waren eine schnelle Reaktion auf diesen hochwirksamen DDoS-Angriffsvektor sowie dessen anhaltende Beseitigung m\u00f6glich. Organisationen, die ein Interesse an der Stabilit\u00e4t und Widerstandsf\u00e4higkeit des Internets haben, sollten branchen\u00fcbergreifende Kooperationsbem\u00fchungen als Kernprinzip begr\u00fc\u00dfen und unterst\u00fctzen.<\/p>\n\n\n\n<p>Die gemeinsamen Anstrengungen der Taskforce f\u00fcr Forschung und Schadensbegrenzung zeigen nicht nur, dass eine erfolgreiche Zusammenarbeit zwischen Branchenkollegen zur raschen Beseitigung von solchen Bedrohungen m\u00f6glich ist \u2013 sie wird vor allem f\u00fcr die zuk\u00fcnftige Rentabilit\u00e4t des globalen Internets immer wichtiger.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein neuer DDoS-Angriffsvektor (Distributed Denial of Service) mit einer potenziellen Amplification Rate (auf Deutsch: Verst\u00e4rkungsrate) von rekordverd\u00e4chtigen 4,3 Milliarden wurde von Angreifern genutzt, um mehrere hochwirksame Attacken zu starten. Eine hohe Amplification Rate macht es einfacher, Systeme mit wenigen Paketen zu \u00fcberw\u00e4ltigen. Nach Angaben von Akamai-Forschern wurden die Angriffe Mitte Februar 2022 beobachtet. Sie richteten&#8230;<\/p>\n","protected":false},"featured_media":4144,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-4160","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/4160","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=4160"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/4144"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=4160"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=4160"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=4160"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=4160"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=4160"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=4160"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}