Patch für BitTorrent beseitigt DDoS-Sicherheitslücke in Protokoll

Heute erklärte BitTorent, dass das Patch für das Protokoll libuTP, das von vielen seiner Clients genutzt wird, eine Sicherheitslücke schließt, die es Cyberkriminellen ermöglicht, DDoS-Attacken durchzuführen.

Das Problem wurde auf dem letzten USENIX-Symposium in einem Artikel vorgestellt, in dem beschrieben wurde, wie die Kunden von BitTorrent unfreiwillig zu Beteiligten an DDoS-Attacken mit Verstärkung werden können.

Christian Averill, Vicepresident of Communications bei BitTorrent, erklärte gegenüber Threatpost, dass die Korrektur am 4. August veröffentlicht wurde, mehr als eine Woche vor der Präsentation auf der USENIX.

Der Student an der Londoner Universität, Florian Adamsky, der die Sicherheitslücke entdeckt hatte, informierte BitTorrent am 1. Juli über das Problem. Eine Reihe von BitTorrent-Clients, die das UDP-Protokoll libuTP nutzen, uTorrent, BitTorrent und BitTorrent Sync eingeschlossen, waren angreifbar.

„Viele BitTorrent-Produkte verwenden libµTP, da es eine Überlastung des Netzes erkennen und sich automatisch selbst einschränken kann. Durch diese Fähigkeit zur Selbstbeschränkung sind BitTorrent, µTorrent und BitTorrent Sync Heimnetzwerken freundlicher gesinnt“ heißt es im Blog von BitTorrent. „Doch die Sicherheitslücke, die in einer fehlerhaften Verarbeitung eingehender Verbindungen durch libµTP besteht, kann viele Clients der Gefahr aussetzen, dass sie zu Komplizen bei Verstärkungsattacken werden, und zwar in der Rolle des Reflektors.“

Adamskys Arbeit, bei der er von Ali Khayam von PLUMgrid, Rudolf Jager von THM Friedberg und einem weiteren Studenten der Londoner Universität, Muttukrishnan Rajarajan, unterstützt wurde, wurde in kontrollierter Laborumgebung getestet und BitTorrent erklärte, dass es sich hierbei um reine Theorie handele und Derartiges in der Praxis noch nicht vorgekommen sei.

Die Forscher konstruierten einen Versuchsstand aus mehr als 10.000 Zwei-Wege-Verbindungen zwischen uTP-Knoten.

Von der Annahme ausgehend, dass sie einen gültigen SHA-1 Info-Hash haben, erklärten die Forscher, dass libuTP die Durchführung einer Attacke unter Verwendung einer falschen IP-Adresse ermöglicht. Angriffe, die über BitTorrent laufen, können um bis zu ein 50-Faches verstärkt sein. Das betrifft auch die populärsten Clients, die dieses Protokoll benutzen, wie etwa uTorrent, Mainline und Vuze, in dem ein Angriff bis zu einem 54-Fachen verstärkt wurde.

„uTP stellt eine Verbindung mit Hilfe eines zweiseitigen Handshakes her. Das ermöglicht einem Cyberkriminellen eine Verbindung mit Verstärkung herzustellen, indem er eine gefälschte IP-Adresse verwendet, da der Empfänger nicht überprüft, ob es eine Reaktion vom Initiator gegeben hat oder nicht“, heißt es in dem Dokument.

BitTorrent erklärte, dass die Clients BitTorrent und BitTorrent Sync am 4. August gepatcht wurden und der Verbindungsstatus nur dann weitergeben wird, wenn sie eine gültige Rückantwort vom Initiator der Verbindung erhalten haben.

„Das bedeutet, dass beliebige Pakete, die über die Grenzen eines erlaubten Fensters hinaus gelangen, von einem Reflektor zurückgegeben werden und nicht beim Opfer ankommen“, heißt es bei BitTorrent. „Da auf der Ebene von libµTP Schutzmaßnahmen ergriffen wurden, enthalten andere Protokolle des Unternehmens, die über libµTP arbeiten, wie beispielsweise Message Stream Encryption (MSE), die Sicherheitslücke ebenfalls nicht mehr.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.