Seit Anfang 2023 lässt sich ein starker Anstieg von DDoS-Angriffen beobachten. Ein neuer Trend besteht darin, Angriffe mit hoher Paketrate zu versenden. Dieser Artikel stellt die Ergebnisse unserer Teams vor, um über neue Erkenntnisse zu dieser Bedrohung zu informieren.
Einführung
Distributed-Denial-of-Services-Angriffe (DDoS) sind ein seit langem bekanntes Problem und stellen nach wie vor ein wirksames Mittel zur Beeinträchtigung der Verfügbarkeit eines Online-Dienstes dar. In den letzten zehn Jahren haben mehrere Akteure gezeigt, wie einfach sie mit ihrem Botnet eine Armee von Zombie-Geräten aufstellen können, indem sie eine Reihe von Techniken einsetzen – von Phishing zur Installation von Malware auf einem Desktop-Host bis hin zur Ausnutzung verschiedener Schwachstellen, die IoT-Geräte, CCTV oder Router in Wohngebieten betreffen.
Diese Botnets wurden größtenteils dazu verwendet, DDoS-Angriffe mit Zehntausenden von kompromittierten Geräten auf der ganzen Welt auszuführen. Die Angriffsmuster waren oft dieselben: Es wurden so viele Pakete wie möglich geschnürt, um die höchstmögliche Bitrate (oder Paketrate) zu erreichen und so die Netzwerkkapazitäten des Ziels lahmzulegen. So operierte zum Beispiel das Mirai-Botnet im Jahr 2016, das als erstes Botnet mehr als 1 Tbps (Terabit pro Sekunde) generierte. Seitdem haben mehrere Botnets Mirai mit bis zu 3,47 Tbps im Jahr 2021 weit übertroffen. Angriffe mit mehr als 1 Tbps blieben jedoch bis vor kurzem recht selten.
Seit Anfang 2023 haben wir einen starken Anstieg von DDoS-Angriffen festgestellt, sowohl in der Häufigkeit als auch in der Intensität. Darüber hinaus haben unsere Teams bei OVHcloud ab November desselben Jahres eine deutliche Beschleunigung des Trends beobachtet: Während DDoS-Angriffe, die 1 Tbps oder mehr erreichten, anfangs nur gelegentlich auftraten, sind sie es nun nicht mehr. In den letzten 18 Monaten waren Angriffe über ein Tbps eher selten, dann wöchentlich und schließlich fast täglich (im Durchschnitt über eine Woche). Die höchste beobachtete Bitrate in diesem Zeitraum betrug circa 2,5 Tbps.
Abb. 1: Am 25. Mai. 2024 erfolgte ein Angriff mit 1,5 Tbps, direkt gefolgt von der größten jemals bei OVHcloud aufgezeichneten Bitrate mit 2,5 Tbps in der Spitze.
Interessanterweise fällt die jüngste Ankündigung, dass das 911 S5 Botnet zwischen dem 25. und dem 30. Mai 2024 zerschlagen wurde, mit einem deutlichen Rückgang der DDoS-Angriffe zusammen, der Mitte Mai einsetzte. Wir können jedoch nicht mit Sicherheit bestätigen, dass diese Ereignisse miteinander verbunden sind.
Während sich die Häufigkeit der Angriffe scheinbar wieder normalisiert hat, beobachten wir immer noch eine große Anzahl von DDoS-Angriffen mit Paketraten von mehr als 100 Mpps (Millionen Pakete pro Sekunde).
Angriffe mit hoher Paketrate
Normalerweise beruhen die meisten DDoS-Angriffe auf dem Senden einer großen Menge von Datenmüll, um die Bandbreite zu sättigen (Angriffe auf der Netzwerkschicht), oder auf dem Senden einer großen Menge von Anwendungsanforderungen, um eine übermäßige CPU- oder Speichernutzung zu verursachen (Angriffe auf der Anwendungsschicht). Natürlich gibt es auch andere Methoden: Dazu gehören Angriffe, die auf der Paketrate oder auf Paketen pro Sekunde basieren.
Ziel von Angriffen auf die Paketrate ist es, die Paketverarbeitungsengines von Netzwerkgeräten in der Nähe des Ziels zu überlasten, anstatt die verfügbare Bandbreite auszuhungern. Die allgemeine Idee besteht darin, die Infrastrukturen vor dem anvisierten Dienst (z. B. Load-Balancer, Anti-DDoS-Systeme, …) lahmzulegen und so möglicherweise eine große Infrastruktur als Kollateralschaden zu beeinträchtigen. Einfach ausgedrückt: Anstatt zu versuchen, Lücken in Anti-DDoS-Systemen zu finden, werden sie einfach ausgeschaltet.
Angriffe auf die Paketrate sind recht effektiv, da es in der Regel schwieriger ist, mit vielen kleinen Paketen umzugehen als mit größeren, aber weniger zahlreichen Paketen. Dies liegt daran, dass die Rechenkosten im Allgemeinen höher sind. Wird z. B. Software zur Verarbeitung von Paketen verwendet, bedeutet jedes Paket mindestens einen Speicherzugriff (abgesehen von möglichen Kopien oder Zugriffen auf gespeicherte Daten wie Verbindungstabellen), anstatt einfach über mehr Bytes zu iterieren. Wird Hardware verwendet, wird die Leistung der Paketverarbeitung zwar nicht unbedingt von der Paketrate beeinflusst, aber die Prozesspipeline hängt wahrscheinlich von anderen Komponenten ab, wie z. B. dem Speicher (wieder!), der durch hohe Paketraten stark belastet werden könnte. Unter diesen Bedingungen kann man aufgrund der sehr hohen Rate an Grenzen stoßen oder einfach nur, weil man nicht genügend Puffer hat, um alles zu speichern, was wahrscheinlich zu Latenzzeiten oder Leistungseinbußen führt. Wir können dieses Problem in einem einzigen Satz zusammenfassen: Wenn Ihre Aufgabe darin besteht, hauptsächlich mit Nutzlasten umzugehen, kann die Bandbreite die harte Grenze sein. Wenn Ihre Aufgabe aber darin besteht, hauptsächlich mit Paketköpfen umzugehen, ist die Paketrate die harte Grenze.
Aus diesem Grund ist es unter den meisten Bedingungen schwieriger, mit kleinen Paketen umzugehen als mit großen Paketen. Kurz gesagt, ein 10-Gbit/s-DDoS-Angriff mit großen Paketen (1480 Byte) ergibt circa 0,85 Mpps: im Vergleich dazu ergeben 10 Gbit/s mit den kleinsten Paketen (84 Byte auf der Leitung für Ethernet) massive circa 14,88 Mpps.
Im Zusammenhang mit der Standard-MTU des Internets (1500) können 17-mal mehr Pakete auf der Leitung untergebracht werden, wenn nur die kleinstmöglichen Pakete erzeugt werden, im Vergleich zu großen Paketen. Um eine Vorstellung von den Rechenkapazitäten zu vermitteln, die im Zusammenhang mit der DDoS-Abwehr erforderlich sind, kann eine 100-Gbit/s-Verbindung eine Leitungsrate von 149 Mpps bewältigen: Dies ermöglicht bis zu sechs Nanosekunden Verarbeitungszeit pro Paket oder 18 Zyklen für eine einzelne Rechenpipeline, die mit einer Taktfrequenz von 3 GHz läuft. Anders ausgedrückt: Selbst mit Dutzenden von parallelen Pipelines stehen nicht viele Zyklen zur Verfügung, vor allem, wenn man auf Speicher zugreifen muss.
Nebenbei bemerkt ist dies einer der Gründe, warum OVHcloud seine eigenen Netzwerk-Appliances für DDoS-Infrastrukturen entwickelt. OVHcloud verwendet eine Kombination aus FPGA und Userland-Software (DPDK), um Appliances mit handelsüblicher Hardware zu bauen. Jede Netzwerk-Appliance, die zur Abschwächung von DDoS-Angriffen eingesetzt wird, wird intern entworfen, implementiert und gewartet (wie übrigens auch der Rest unserer Anti-DDoS-Systeme). Dank dieses schlanken Ansatzes können wir die Leistungserwartungen und -beschränkungen genau abstimmen und sicherstellen, dass unsere Appliances den Anforderungen entsprechen.
Der Anstieg der (großen) Paketraten-Angriffe
DDoS-Angriffe, die sich auf hohe Paketraten stützen, sind nicht neu, und Netzbetreiber auf der ganzen Welt waren mindestens einmal mit solchen Angriffen konfrontiert. Der höchste öffentlich bekannte Angriff mit hoher Paketrate wurde beispielsweise von Akamai im Jahr 2020 gemeldet und erreichte 809 Mpps. Trotz dieser hohen Zahl liegt die überwiegende Mehrheit der Angriffe auf die Paketrate jedoch weit unter 100 Mpps. Dies liegt wahrscheinlich daran, dass die Erzeugung vieler kleiner Pakete schwieriger ist als die Erzeugung großer Pakete (man braucht viel mehr Rechenleistung, ähnlich wie bei der Verarbeitung) und dass es schwieriger ist, sie vor Netzwerküberwachungs- und Missbrauchsschutzsystemen zu verbergen.
Angriffe auf die Paketrate haben bei OVHcloud vor zwei Jahren begonnen, ernsthaft Aufmerksamkeit zu erregen, nachdem wir mehr als sechs Stunden lang von einer gigantischen UDP-Flut betroffen waren, die im Durchschnitt circa 700 Mpps für ungefähr vier Stunden erreichte, aber erfolgreich eingedämmt wurde.
Abb. 2: Dieser spezielle Angriff machte seinerzeit deutlich, dass Botnets zunehmend in der Lage sind, enorme Paketraten zu erzeugen und diese über einen langen Zeitraum aufrechtzuerhalten.
In den letzten 18 Monaten und insbesondere in den letzten sechs Monaten, haben wir einen starken Anstieg von DDoS-Angriffen mit Paketraten von über 100 Mpps festgestellt. Wir konnten nicht mehr nur wenige Angriffe pro Woche abwehren, sondern Dutzende oder sogar Hunderte pro Woche. Anfang 2024 mussten unsere Infrastrukturen mehrere Angriffe mit über 500 Mpps abwehren, darunter einen mit 620 Mpps in der Spitze. Im April 2024 entschärften wir sogar einen rekordverdächtigen DDoS-Angriff, der circa 840 Mpps erreichte und damit knapp über dem bisherigen Rekord von Akamai lag.
Abb. 3: Ein rekordverdächtiger DDoS-Angriff mit 840 Mpps wurde von OVHcloud entschärft.
Dieser Angriff bestand zu 99 Prozent aus TCP ACK, die von etwa 5.000 Quell-IPs stammten. Interessanterweise war das restliche Prozent ein DNS-Reflection-Angriff, bei dem circa 15.000 DNS-Server zur Verstärkung des Datenverkehrs genutzt wurden, was bei Angriffen mit hoher Paketrate nicht wirklich effizient ist.
Obwohl der Angriff weltweit verteilt war, kamen zwei Drittel der Gesamtpakete von nur vier PoPs, die sich alle in den USA befanden, wobei drei davon an der Westküste lagen. Dies verdeutlicht die Fähigkeit der Täter, eine hohe Paketrate über nur wenige Peerings zu senden, was sich als sehr problematisch erweisen kann. Im Allgemeinen gehen Anti-DDoS-Reaktionsteams – nicht nur bei OVHcloud – davon aus, dass es wirklich schwierig ist, massive DDoS-Angriffe von nur wenigen geografischen Standorten aus zu versenden. Ausgehend von dieser Annahme sind unsere Infrastrukturen horizontal skaliert und weltweit verteilt, so dass sie die Last leichter aufnehmen können. Die Verteilung des Datenverkehrs bei dem Angriff mit 840 Mpps hat diese Annahme jedoch stark in Frage gestellt. Wir verfügen zwar über die lokalen Kapazitäten, um diesen Angriff zu entschärfen, aber wir werden das allgemeine Skalierungs- und Verteilungsmodell unserer Anti-DDoS-Infrastrukturen anpassen, um sicherzustellen, dass wir künftige (und wahrscheinlich größere) Angriffe so bewältigen können, wie wir es heute tun.
Der signifikante Anstieg von Angriffen mit hoher Paketrate hat uns schließlich dazu veranlasst, uns intensiv mit dem Thema zu beschäftigen. Als weltweiter Cloudanbieter prüft OVHcloud täglich viele DDoS-Angriffe, was uns einen besonderen Blickwinkel auf dieses Thema ermöglicht. Wir wollten verstehen, wie diese Angriffe generiert werden, woher sie kommen und möglicherweise herausfinden, was wir tun können, um unsere Infrastrukturen und Kunden besser gegen diese Art von Angriffen zu schützen.
Böse Core-Router entlarven
Während unserer Analysekampagne, bei der wir fast hundert Angriffe mit einer Paketrate von 100 bis 500 Mpps manuell untersuchten, stellten wir fest, dass viele Angriffe von nicht allzu vielen Quellen ausgingen, die einen großen Teil des gesamten Datenverkehrs verursachten. Wir erstellten eine Liste bekannter angreifender IPs, die jeweils mindestens 1 Mpps erzeugen können, und beschlossen, weiter zu graben.
Wir analysierten die 70 IPs mit den höchsten Paketraten von bis zu 14,8 Mpps pro IP. Diese IPs gehören hauptsächlich zu Autonomen Systemen (AS) in Asien, aber auch Europa, der Nahe Osten, Nordamerika und Südamerika sind vertreten. Die ermittelten AS scheinen überwiegend zu Unternehmens-ISPs oder Cloud-Konnektivitätsanbietern zu gehören.
Abb. 4: Verteilung der 70 IPs mit den höchsten Paketraten nach Standorten des AS.
Um zu verstehen, welche Art von Geräten an diesen DDoS-Attacken beteiligt waren, haben wir Onyphe verwendet, um festzustellen, ob diese IPs bekannt waren. In der Tat ist ein großer Teil dieser IPs als MikroTik-Router bekannt und stellt im Internet – zumindest – die Konfigurationswebseite zur Verfügung.
Zum jetzigen Zeitpunkt ist es möglich, dass dieser Datenverkehr entweder von Servern erzeugt wird, die sich hinter einem mit NAT konfigurierten Router befinden, eine gefälschte IP verwenden oder eine seltsame TCP-Reflexion ausnutzen. Wir haben diese Hypothesen jedoch schnell verworfen, da es unwahrscheinlich ist, auf eine so große Anzahl identifizierter MikroTik-Router zu stoßen, zumal MikroTik keinen großen Marktanteil hat. Darüber hinaus zeugt die Offenlegung einer Administrationsschnittstelle von schlechten Management-Praktiken. Sie vergrößert die Angriffsfläche des Geräts und kann die Kompromittierung durch einen Angreifer erleichtern. Darüber hinaus wurde RouterOS – das Betriebssystem von MikroTik – in den letzten Jahren von mehreren kritischen CVE-Lücken heimgesucht. Selbst wenn ein Patch veröffentlicht wurde, sind diese Geräte möglicherweise noch nicht gepatcht worden.
Da die HTTP-Schnittstelle bei den meisten Geräten offen ist, ist es möglich, sie zu nutzen, um die Version von RouterOS, die auf den Geräten läuft, wiederherzustellen. Auf der Hälfte der Geräte läuft eine RouterOS-Version vor 6.49.8 (veröffentlicht am 23. Mai. 2023) und die andere Hälfte läuft mit einer neueren Version. Zum Beispiel wurden Geräte mit RouterOS 6.49.14 (veröffentlicht am 4. April. 2024) identifiziert.
Abb. 5: Beispiel für ein MikroTik-Gerät, das in Angriffe mit hoher Paketrate verwickelt ist, die von OVHcloud-Teams identifiziert wurden.
Wir waren jedoch überrascht, dass Geräte mit einer neueren Firmware potenziell gefährdet sind. Soweit uns bekannt ist, wurde bisher noch keine Sicherheitslücke veröffentlicht, die RouterOS 6.49.14 und spätere Versionen betrifft. Eine mögliche Erklärung wäre, dass diese Geräte nach ihrer Kompromittierung gepatcht worden sind.
Wir können noch nicht sagen, warum diese Geräte in koordinierte DDoS-Angriffe verwickelt sind, aber eine mögliche Hypothese könnte die Funktion „Bandbreitentest“ von RouterOS sein. Sie ermöglicht es dem Administrator, den tatsächlichen Durchsatz eines Routers zu testen, indem er Pakete zusammenstellt und Stresstests durchführt. Zufälligerweise heißt es in der Dokumentation wie folgt: „Bis zur RouterOS Version 6.44beta39 hat der Bandbreitentest nur einen einzigen CPU-Kern verwendet und ist an seine Grenzen gestoßen, wenn der Kern zu 100 Prozent ausgelastet war. Der Bandbreitentest verwendet [jetzt] die gesamte verfügbare Bandbreite (standardmäßig) und kann die Nutzbarkeit des Netzwerks beeinträchtigen.“ Dies ist recht interessant, da wir unter den beanstandeten IPs meist RouterOS v6.44 oder höher identifiziert haben.
99.382 im Internet verfügbare Geräte
Mithilfe von SNMP auf den Geräten, die es offenlegen, konnten wir feststellen, welche Art von Geräten in der Lage war, eine so hohe Paketrate auszugeben. Wie erwartet, handelt es sich dabei nicht um Router, sondern um Kernnetzgeräte.
Abb. 6: Identifizierung der Cloud Core Router-Geräte.
Die Ergebnisse heben die MikroTik CCR-Serie hervor, was für Cloud Core Router steht. SNMP meldete in der Tat mehrere CCR1036-8G-2S+ und CCR1072-1G-8S+.
Um einen Überblick darüber zu erhalten, wie viele Geräte kompromittiert und für solch massive DDoS-Angriffe mit hoher Paketrate verwendet werden könnten, haben wir erneut Onyphe verwendet, um im Internet nach CCR-Geräten zu suchen. Es wurden 99.382 CCR-Geräte identifiziert.
Abb. 7: Verteilung der Gerätemodelle, die laut Onyphe offen im Internet gefunden wurden.
Wir können sehen, dass beide Gerätemodelle, die in die von unseren Teams beobachteten Angriffe auf die Paketrate involviert sind (CCR1036-8G-2S+ und CCR1072-1G-8S+), mindestens 40.000 im Internet offene Geräte repräsentieren. Das CCR1036-8G-2S+ ist mit 30.976 Vorkommnissen das am häufigsten gefundene Gerät im Internet, und das CR1072-1G-8S+ liegt mit 9.353 Vorkommnissen auf Platz 4 der am häufigsten gefundenen Geräte. Da wir immer noch nicht wissen, welche Art von Schwachstelle zur Kompromittierung dieser Gerätemodelle ausgenutzt wurde, können wir noch nicht sagen, ob andere CCR-Modelle ebenfalls kompromittiert werden könnten oder nicht. Nichtsdestotrotz bleibt die Offenlegung des Administrationspanels im Internet ein großes Risiko für die Sicherheit des Geräts.
Noch mehr böse Modelle?
Dank des internen Datenaustauschs und der Diskussionen wurden wir an einen L7-Angriff erinnert, der im November 2023 stattfand. Damals wurden MikroTik-Router identifiziert, aber es klingelte nicht bei uns. Dieser Angriff erreichte 1,2 Millionen Anfragen pro Sekunde über HTTPS und betraf etwa 3.000 Quell-IPs. In Anbetracht unserer jüngsten Erkenntnisse haben wir beschlossen, einen weiteren Blick darauf zu werfen.
Abb. 8: Layer-7-DDoS-Angriff mit MikroTik-Geräten, aufgezeichnet im November 2023.
Um zu verstehen, welche Art von Routern beteiligt war, haben wir die 3.000 IPs, die an dem Angriff beteiligt waren, wiederhergestellt. Frühere Untersuchungen ergaben etwa 700 IPs, die als MikroTik-Router identifiziert wurden und den Port TCP/8291 offenlegten. Allerdings haben wir damals nicht überprüft, um welche Art von Geräten es sich handelt.
Wie schon zuvor haben wir eine schnelle Recherche mit Onyphe durchgeführt. Wir haben es zuerst manuell gemacht und fanden schnell genau die gleichen Ergebnisse wie zuvor: Auch bei diesem Angriff waren Cloud Core Router beteiligt. Unter den IPs, die als CCR-Geräte identifiziert wurden, waren über 10 Prozent, die SMNP öffentlich zugänglich machten. Erneut fanden wir Kernnetzwerkgeräte: 16 Prozent der exponierten Geräte sind beispielsweise CCR1009-7G-1C-1S+, ein weiteres ähnliches Modell. Dieses Modell ist nach unseren im vorigen Abschnitt beschriebenen Erkenntnissen das zweithäufigste exponierte Modell im Internet.
Die Bestimmung der RouterOS-Version, die vor acht Monaten auf den identifizierten Geräten lief, ist wahrscheinlich nicht relevant, da wir nicht sagen können, welche Version zu diesem Zeitpunkt auf dem Gerät installiert war. Die Analyse zeigt jedoch, dass 22 Prozent der Geräte mit einem RouterOS betrieben werden, das zwischen dem 1. Juli. 2023 und 1. Juli 2024 veröffentlicht wurde. Die jüngste Version ist v6.49.15 (2024-05-24), während die älteste Version v5.20 (2012-08-15) ist.
Abb. 9: Identifizierung der Gerätemodelle mit erneutem Einsatz des Cloud Core Routers.
Abb. 10: Verteilung der CCR-Gerätemodelle, die an dem aufgezeichneten L7-Angriff beteiligt waren.
Leider liegen uns nicht mehr genügend Daten vor, um die mögliche Anforderungsrate je nach Gerätemodell anzugeben.
Es ist immer noch schwer zu sagen, wie diese Geräte kompromittiert wurden. Ebenso ist es schwierig festzustellen, ob diese Angriffe miteinander in Verbindung stehen und ob dasselbe Botnetz an den Angriffen mit hoher Paketrate und den L7-Angriffen beteiligt ist. In jedem Fall ist es interessant, das Vorhandensein von Netzwerkkerngeräten bei L7-Angriffen hervorzuheben, da es zeigt, wie groß die Bedrohung durch diese Geräte sein kann.
Zahlen und Fakten
Um einen Hinweis auf die mögliche Kapazität eines Botnetzes zu geben, das diese Geräte nutzt, haben wir beschlossen, uns auf Angriffe mit hoher Paketrate zu konzentrieren, die bereits bekannt sind.
Ein kurzer Überblick über die beworbenen Fähigkeiten der identifizierten Geräte zeigt, dass sie in der Lage sind, bis zu 28 Gbit/s – für den CCR1036-8G-2S+ -– oder 80 Gbit/s für den CCR1072-1G-8S+ – zu verarbeiten. In Bezug auf die Paketrate behaupten sie, dass sie die ungefähre theoretische Paketleitungsrate in Bezug auf ihre Bandbreitenverarbeitungsfähigkeiten verarbeiten können. Zur Erinnerung: In eine 1-Gbit/s-Verbindung passen höchstens circa 1,5 Mpps. Je nach den Fähigkeiten der Geräte, Pakete zu verarbeiten, kann die Menge der von dem Gerät möglicherweise erzeugten Pakete pro Sekunde stark variieren und weit unter den angekündigten Verarbeitungsfähigkeiten liegen. Dies geschieht im Allgemeinen in der CPU, wann immer dies erforderlich ist, und nicht durch ASICs.. Darüber hinaus ist die Generierung von Datenverkehr über die Hardware eines kompromittierten Geräts alles andere als trivial: Ein Eindringling wird höchstwahrscheinlich versuchen, nur die CPU-Fähigkeiten oder eingebaute Funktionen zu nutzen, deren Verwendung leicht von der beabsichtigten Verwendung abweicht.
Im Rahmen dieser Überlegung gehen wir davon aus, dass Netzwerkgeräte in der Lage sind, Pakete mit einer Rate von 10 Prozent ihrer maximalen Kapazität zu erzeugen, was zu den folgenden Annahmen führt:
- CCR1036-8G-2S+ sollte in der Lage sein, jeweils vier Mpps zu erzeugen
- CCR1072-1G-8S+ sollte in der Lage sein, jeweils 12 Mpps zu erzeugen
Diese Schätzungen scheinen größtenteils genau zu sein, wenn man sie mit den tatsächlich beobachteten Paketraten in Abhängigkeit vom identifizierten Modell vergleicht. In Anbetracht der verfügbaren CPUs auf diesen Geräten halten wir diese Schätzungen für recht konservativ: Im Fall der CCR1036-8G-2S+ Geräte sollte es beispielsweise nicht schwierig sein, mit 36 Kernen bei 1,2 GHz mehr als vier Mpps zu erzeugen.
An diesem Punkt kann jeder ein naives Modell eines Botnetzes erstellen, das diese Geräte nutzt. Unter Berücksichtigung einer Rate von einem Prozent (willkürlicher, konservativer Wert) der gefährdeten Geräte und der Konzentration auf die ersten beiden Modelle, die wir als gefährdet identifiziert haben:
- ~ 300x CCR1036-8G-2S+ / je 4 Mpps
- ~ 90x CCR1072-1G-8S+ / 12 Mpps pro Gerät
Ein solches Botnetz wäre theoretisch in der Lage, 2,28 Milliarden Pakete pro Sekunde (oder Gpps) zu erzeugen.
Was die Kapazität der Anfragen pro Sekunde für L7-Angriffe betrifft, so haben wir nicht genügend Daten, um eine hinreichend starke Hypothese aufstellen zu können. Wir können nur bestätigen, dass diese Geräte durchaus in der Lage zu sein scheinen, L7-Angriffe und Angriffe mit hoher Paketrate durchzuführen. Der Versuch, die mögliche L7-Kapazität abzuschätzen, bleibt als Übung für den Leser.
Fazit
Die beobachteten Entwicklungen deuten auf einen neuen Trend hin: die Nutzung kompromittierter Netzwerk-Core-Geräte zur Durchführung leistungsstarker Angriffe. Auch wenn MikroTik-Geräte bereits in DDoS-Angriffe verwickelt gewesen sein könnten, gab es bisher keine Hinweise darauf, dass diese Botnets auf Netzwerkkerngeräte zurückgreifen.
Zwar könnte jeder High-End-Server durchaus in der Lage sein, Paketraten in dieser Größenordnung zu erzeugen, doch werden sie wahrscheinlich durch die tatsächlich verfügbare öffentliche Bandbreite begrenzt. Aufgrund ihres Standorts innerhalb des Netzwerks sind Kerngeräte von dieser Behauptung weit weniger betroffen: Sie sind im Allgemeinen mit noch größeren Geräten über Netzwerkverbindungen mit hoher Kapazität verbunden. Darüber hinaus können die von den Netzverwaltern zur Erkennung von anormalem Verhalten im Netz – z. B. von Servern, die DDoS-Angriffe initiieren – eingeführten Abhilfemaßnahmen in diesem Fall umgangen werden, da Router im Allgemeinen nicht von diesen Maßnahmen betroffen sind.
Abhängig von der Anzahl der kompromittierten Geräte und ihren tatsächlichen Fähigkeiten könnte dies eine neue Ära für Angriffe mit hoher Paketrate bedeuten: Mit Botnetzen, die möglicherweise Milliarden von Paketen pro Sekunde aussenden können, könnte dies eine ernsthafte Herausforderung für den Aufbau und die Skalierung von Anti-DDoS-Infrastrukturen darstellen. Wir werden diese neue Bedrohung auf jeden Fall berücksichtigen, wenn wir darüber nachdenken, wie wir unsere eigenen Anti-DDoS-Infrastrukturen aufbauen und skalieren, um sicherzustellen, dass wir von möglichen Auswirkungen verschont bleiben.
Abschließend lässt sich sagen, dass die Sicherheit von Netzwerkgeräten sowohl ein dringendes Anliegen als auch ein aktuelles Problem ist. Seit dem 1. Januar 2024 wurden mehr als zehn kritische CVEs veröffentlicht, die verschiedene Netzwerkgeräte von mehreren Anbietern (u.a. Ivanti, Cisco, Fortinet, Palo Alto) betreffen. Einige von ihnen wurden sogar schon vor der Veröffentlichung des CVEs in freier Wildbahn ausgenutzt. Dies ist jedoch das erste Mal, dass Netzwerkkerngeräte an koordinierten DDoS-Angriffen beteiligt sind. Dies ist insofern besorgniserregend, als die identifizierten Geräte für kleine und mittelgroße Netzwerkkerne konzipiert sind und es heute viel leistungsfähigere Geräte gibt.
Abschließende Anmerkung: Wir haben MikroTik über verschiedene Kommunikationskanäle kontaktiert, um sie auf die Situation aufmerksam zu machen. MikroTik hat sich am 04.07.2024 bei uns gemeldet und untersucht derzeit die möglichen Ursachen des Problems.
Wir kontaktieren derzeit auch verschiedene AS, um ihnen das Problem zu melden.
Dieser Beitrag erschien zuerst am 02.07.2024 auf dem Blog von OVHcloud. Wir werden die Entwicklungen weiterhin beobachten. Bei neuen Erkenntnissen finden Sie den neuesten Stand dazu unter folgendem Link.
Von Sebastien Meriot, Head of Computer Security Incident Response Team, und Christophe Bacara, Technical Lead – Network Security Engineering bei OVHcloud