DrDoS mit Joomla-Verstärkungsservern

Ende vergangenen Jahres konnten die Spezialisten auf dem Gebiet Cloud-Schutz vor DDoS-Attacken von Akamai Technologies einen ungewöhnlichen GET flood-Angriff abwehren: Cyberkriminelle setzten eine Verstärkungstechnik ein, indem sie die Sites von Joomla als Proxy-Vermittler benutzten. Eine Analyse des schädlichen Traffics von diesen Knoten, die PLXsert Akamai und PhishLabs gemeinsam durchführten, ergab, dass der unfreiwillige Schuldige an dieser automatisierten Serverattacke ein angreifbares Google Maps-Plugin für Joomla ist.

„Sicherheitslücken in Webanwendungen, die bei SaaS-Providern beherbergt werden, bieten kriminellen Elementen nach wie vor ein breites Spektrum an Möglichkeiten“, kommentiert Stuart Scholly, Senior Vice President und General Manager der Security Division von Akamai. „In diesem Fall wurde ein angreifbares Joomla-Plugin ausgenutzt, für das eine neue Art von DDoS-Attacken und neue Tools entwickelt wurden, die zum Verleih angeboten werden. Das ist eine weitere Sicherheitslücke in einer Webanwendung, deren Zahl unendlich ist, und ein Ende ist nicht in Sicht. Unternehmen müssen einen einsatzbereiten Plan zur Einschränkung von Junk-Traffic haben, der von Millionen von Cloud- SaaS-Servern kommt, die für DDoS-Attacken benutzt werden können.“

Die Sicherheitslücke in Google Maps für Joomla, um die es geht, ist nicht neu, und bei Ausnutzung bringt sie das Plugin dazu als Proxy zu fungieren. Wenn Online-Gangster dann die Quelle der Anfragen austauschen und die IP-Adresse des Ziels angeben, gehen die Antworten von dem Server, der das Plugin verwendet, in die von ihm benötigte Richtung. Das hat zur Folge, dass die tatsächliche Quelle des Angriffs im Dunkeln bleibt, da der Haupt-Junkstrom, ähnlich gewöhnlichen Anwenderverbindungen, von den Joomla-Servern generiert wird. Die Leistungsstärke dieses DDoS-Traffics ist nicht groß, doch sie kann sich als ausreichend erweisen, um eine angegriffene Anwendung außer Gefecht zu setzen.

Die gemeinsam mit PhishLabs durchgeführte Untersuchung hat gezeigt, dass Cyberkriminelle massenweise angreifbare Joomla-Sites zur Umsetzung von DDoS-Attacken des Typs gespiegelter GET flood ausnutzen und solche Attacken auch auf Bestellung durchführen. Zudem wurden sie dem Arsenal von mindestens zwei spezialisierten Tools hinzugefügt, und zwar DAVOSET und UFONet. Die Experten von PLXsert haben im Netz mehr als 150.000 Server gefunden, die potentiell als Joomla-Reflektor benutzt werden können. Viele von ihnen sind bereits gepatcht, wurden neu konfiguriert, blockiert oder verwenden das Google Maps-Plugin nicht mehr, doch die übrigen sind gegenüber Missbrauch noch immer anfällig.

Wie festgestellt wurde, ist diese Spielart von DDoS-Attacken auf Anwendungsebene seit vergangenem September in Gebrauch und wird normalerweise in Kombination mit anderen Vektoren eingesetzt. So zählte PLXsert Anfang Februar innerhalb seines Kundenstamms acht solcher DDoS-Attacken mit Joomla-Verstärkung, von denen es sich nur bei einem um einen „reinen“ GET flood handelte. Dabei waren die meisten der Joomla-Mittler, die in dieser Attacke eingesetzt wurden, in Deutschland registriert (31,8% IP), einige weniger wurden auf dem Gebiet der USA gefunden (22,1%), die übrigen befanden sich auf polnischem, holländischem und französischem Gebiet.

DDoS-Angreifer, die die Reflektionstechnik einsetzen, können auf verschiedene Schwachstellen und verschiedene Protokolle zurückgreifen, doch die Technik selbst ändert sich in ihren Grundzügen nicht. Die von ihnen mobilisierten angreifbaren Geräte, derer es im Internet leider sehr viele gibt, führen den Willen der Cyberkriminellen gehorsam aus und helfen ihnen die Angriffsquellen zu verbergen, den Junk-Traffic zu verstärken und ihn auf das gewünschte Ziel zu lenken. Nach Angaben von PLXsert wurde die Technik zur Spiegelung und Verstärkung des Traffics in 39% der DDoS-Attacken eingesetzt, die bei den Kunden von Akamai im vierten Quartal des vergangenen Jahres registriert wurden.

Quelle:        state of the internet

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.