DDoS-Angreifer reanimieren veraltetes Protokoll RIPv1

Das längst beseitigte Routing-Protokoll mit dem passenden Namen RIPv1 (RIP, rest in peace – „Ruhe in Frieden“) hat noch nicht endgültig seinen Frieden gefunden. Seit Mitte Mai beobachten die Experten von PLXsert DDoS-Attacken, die mittels Spiegelung und Verstärkung des Traffics durchgeführt werden, und zwar unter Beteiligung von Heim- und Büro-Routern, die noch immer diese Protokollversion verwenden.

Das RIP (Routing Information Protocol) wird normalerweise in kleineren Netzen für den dynamischen Austausch von Routing-Informationen zwischen Routern benutzt. Die Version 1 dieses Netzprotokolls gibt es bereits seit dem Jahr 1988, und im Jahr 1996 wurde es als veraltet eingestuft.

Am vergangenen Mittwoch veröffentlichte das Team von PLXsert eine Infoschrift, die eine kürzlich durchgeführte DDoS-Attacke mit RIPv1-Verstärkung zum Thema hat, deren Durchschlagskraft in der Spitze 12,9 GBit/Sek. betrug. Diese Attacke wurde am 16. Mai registriert; der im Rahmen des Angriffs durchgeführte Scan brachte um die 53.700 Netzgeräte zum Vorschein, die auf RIPv1-Anfragen reagierten, allerdings ergab ihre Identifizierung nur 500 unterschiedliche Quellen des Junk-Traffics. Nicht einer dieser unfreiwilligen Vermittler verwendet Authentifizierung, was den DDoS-Angreifern das Leben erheblich erleichtert.

„Die meisten dieser Quellen sendeten hauptsächlich 504-Byte-Pakete und das erklärt auch komplett den Grund für ihren Einsatz bei dieser Attacke“, kommentieren die Forscher.“Wenn die Angreifer mehr neue Quellen finden, könnten dieser Vektor ausbaufähig und von größerer Durchschlagskraft sein als die, die wir im laufenden Jahr beobachtet haben.“

PLXsert warnt zudem, dass die ungenutzten RIPv1-Geräte künftig in leistungsstärkeren und stärker verteilten Attacken zum Einsatz kommen könnten. „Zum gegenwärtigen Zeitpunkt geben die meisten der 53693 möglichen Quellen eine einzige Route aus, das heißt es sind stabile Quellen für DDoS mit Spiegelung des Traffics, ohne zusätzliche Amplifikation”, schreiben die Experten.

Als aktivste Mittler in den DDoS-Attacken aus dem Mai wurden Router der Marke Netopia, Serie 2000 und 3000, identifiziert. Bei einem Scan entdeckten die Forscher um die 19.000 dieser Geräte sowie mehr als 5.000 ZXV10-Modems des Herstellers ZTE und Router mit der Serienbezeichnung TD-8000 vom chinesischen Unternehmen TP-LINK. Laut Angaben von PLXsert sind die Besitzer der meisten Netopia-Router, die noch das Protokoll RIPv1 unterstützen, amerikanische Kunden von AT&T. In den USA werden sie außerdem von den Telekommunikationsunternehmen BellSouth und MegaPath verbreitet, allerdings in geringerem Umfang. Trotzdem sind die meisten Quellen des gespiegelten DDoS-Traffics in Russland, China, Deutschland, Italien oder Spanien registriert.

PLXsert rät den Anwendern verwundbarer Geräte, auf das Protokoll RIPv2 oder ein noch neueres umzusteigen und die Authentifizierung zu aktivieren. Zumindest sollte man sich darüber Gedanken machen, ob es Sinn ergibt, einen offenen RIP-Zugriff auf dem Interface WAN aufrecht zu erhalten. Die Experten raten außerdem, den RIP-Zugriff mit Hilfe einer ACL-Liste einzuschränken und nur bekannten Routern eine Zugriffserlaubnis zu erteilen.

„Die Liste der verfügbaren Spiegelungsvektoren ist keinesfalls kurz, und die Praxis zeigt, dass einige Vektoren aufgrund ihrer weiten Verbreitung (beispielsweise DNS, SSDP) schwer zu kontrollieren sind“, schreiben die Forscher in ihrem Fazit. „Angesichts der oben beschriebenen Fakten halten wir es nicht für zweckmäßig, weiterhin RIPv1 zu verwenden, denn das ist nur eine weitere verfügbare Quelle von DDoS-Traffic. Allem nach zu urteilen verwendet die Mehrheit dieser Quellen veraltetes Equipment, das vor vielen Jahren in Heim- und Firmennetzen installiert wurde.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.