Prolexic über die Bedrohung durch DDoS mit SSDP-Verstärkung

Das jetzt zu Akamai gehörende Security Engineering and Research Team von Prolexic, zuständig für die Untersuchung von DDoS-Vorfällen (Prolexic SERT, PLXsert), hat eine Informationsschrift veröffentlicht, in der vor einer neuen Bedrohung gewarnt wird, und zwar vor Attacken unter Beteiligung von Geräten, die die Auswahl von Netzprotokollen UPnP verwenden. Dazu muss man wissen, dass das Schlüsselelement des UPnP-Standards das SSDP-Protokoll ist, das zur Suche von UPnP-Geräten im Netzwerk dient. Dieser Dienst, der in Millionen von Heim- und Officegeräten aktiv ist, wird in diesem Fall auch von den DDoS-Angreifern genutzt.

„Cyberkriminelle nutzen diesen Vektor bei der Durchführung leistungsstarker DDoS-Attacken“, bemerkt Stuart Scholly, Senior Vice President & General Manager der Security Division bei Akamai Technologies. „Die Zahl der UPnP-Geräte, die wie offene Reflektoren funktionieren können, ist enorm groß und viele von ihnen werden vom Heimnetzwerk aus mit dem Internet verbunden, was das Patchen stark erschwert. Um diese Bedrohung zu verringern und unter Kontrolle zu bekommen, ist eine aktive Einmischung der Hersteller von Patches, Anwendungen und Hardware erforderlich.“ Nach Aussage des Experten ist in näherer Zukunft eine weitere Entwicklung dieser DDoS-Technik zu erwarten.

Die ersten Fälle, in denen UPnP-Geräte als Mittler zur Verstärkung und Spiegelung des Traffics eingesetzt wurden, registrierte PLXsert im Juli. In der Folge entdeckten die Spezialisten im Netz 4,1 Millionen Router, Media-Server, Webcams, Smart-TV-Geräte, Drucker und ähnliche Geräte, die für DDoS-Angreifer potentiell attraktiv sind. Nach Einschätzung von Prolexic sind das ungefähr 38% der gesamten Armee von UPnP-Geräten, die in verschiedenen Ländern laufen. Die größte Zahl der angreifbaren UPnP wurde in Südkorea gefunden, viele allerdings auch in den USA, Kanada, China, Argentinien und Japan.

Nach Angaben von Prolexic sind die Ziele der SSDP-Attacken äußerst vielfältig. Zum gegenwärtigen Zeitpunkt werden solche Vorfälle in den folgenden Bereichen registriert: Unterhaltungsindustrie (28,6% der Attacken), Bezahldienste (21,4%), Bildung (21,4%), Massenmedien (14,3%) und auch das Hotelgewerbe. Die stärkste DDoS-Attacke mit SSDP-Verstärkung, die die Experten abwehren konnten, zeigte in der Spitze Werte von 54 GB/Sek. und um die 18 Мpps (Millionen Pakete pro Sekunde).

In der Informationsschrift von PLXsert wird der Verlauf einer PoC-Attacke Schritt für Schritt beschrieben, die die Forscher unter Laborbedingungen durchgeführt haben und dabei einen Verstärkungskoeffizient von 33% erhielten. Sie betrachten zudem zwei Python-Skripte, die In-the-Wild zur Suche nach angreifbaren Geräten und zur Durchführung von DDoS-Attacken mit SSDP-Verstärkung genutzt werden.

Über die Bedrohung durch SSDP-Attacken hat vor kurzem auch eine andere Gruppe von Spezialisten im Bereich DDoS-Schutz, Arbor Networks, gewarnt. Den vollständigen Bericht von Prolexic finden Sie auf der Website des Unternehmens (Registrierung erforderlich).

Quelle:        Akamai

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.