IT-Forschungsgruppe warnt: Neuer DDoS-Vektor aufgetaucht!

Der TP240PhoneHome Reflection/­Amplification-DDoS-Attack-Vector wurde erstmals Mitte Februar entdeckt und wurde bereits von Angreifern eingesetzt, um mehrere hochwirksame DDoS-Angriffe zu starten. Der neue Angriffsvektor bedrohe laut Aussagen der Taskforce vor allem Unternehmen im Finanzsektor und ISPs, aber auch die Logistik-, Glücksspiel- und andere Branchen.

Erste Opfer waren etwa 2.600 Mitel MiCollab- und MiVoice Business Express-Kollaborationssysteme, die als PBX-zu-Internet-Gateways fungieren. Sie wurden fälschlicherweise mit einer missbräuchlichen Systemtestanlage eingesetzt, die im World Wide Web zugänglich war. Die Angreifer starteten dabei mehr als 53 Millionen Pakete pro Sekunde (Mpps). Die Gefahr, die von diesem DDoS-Vektor ausgeht, wird sogar noch deutlich höher eingeschätzt.

Bemerkt wurde der Unruhestifter von einer DDoS-Forschungsgruppe, zu der NetScout und Akamai, Cloudflare sowie Shadowserver, Black Lotus und weitere führende IT-Sicherheitsexperten gehören. Die Gefahr und deren Beseitigung kann dabei wie folgt auf den Punkt gebracht werden: Die Implementierung einer Validierung der Eingangs- und Ausgangsadresse SAV – auch bekannt als Anti-Spoofing, kann Angreifer daran hindern, Reflection beziehungsweise Amplification DDoS-Angriffe (mehr…) zu starten. Hierfür sollten Netzbetreiber Aufklärungsmaßnahmen durchführen, um missbräuchliche TP-240-Verstärker in ihren Netzen und/oder den Netzen ihrer Kunden zu identifizieren und deren Beseitigung zu erleichtern. Insbesondere Betreiber von Mitel MiCollab- und MiVoice Business Express-Kollaborationssystemen sollten sich proaktiv mit Mitel in Verbindung setzen, um spezifische Anweisungen zur Abhilfe vom Hersteller zu erhalten.

Kooperation für Cybersicherheit im Netz

Die schnelle Reaktion auf diesen hochwirksamen DDoS-Angriffsvektor sowie seine laufende Beseitigung seien nur durch eine konzentrierte Aktion in Form eines Forschungsverbundes möglich gewesen. Das heißt im Umkehrschluss: Organisationen, die ein großes Interesse an der Cybersicherheit im Netz haben, sollten auf branchenübergreifende Kooperationen setzen und diese Form der Zusammenarbeit als Grundprinzip ganzheitlich unterstützen.

Was die Taskforce herausfand

Reflexions- bzw. Verstärkungs-DDoS-Angriffe wären unmöglich, wenn alle Netzbetreiber Ingress- und Egress-SAV oder Anti-Spoofing implementieren würden. Die Fähigkeit, die IP-Adressen der beabsichtigten Angriffsziele zu fälschen, ist Voraussetzung für solche Angriffe. Dienstanbieter müssen SAV weiterhin in ihren eigenen Netzen implementieren und von ihren Downstream-Kunden verlangen, dass sie dies ebenfalls tun. Und hier gibt es weitere Informationen zur Angriffsanalyse und den möglichen Kollateralschäden sowie Gegenmaßnahmen, welche der Forschungsverbund im Threat Summary zur Verfügung stellt. bf