Onderzoekers van KU Leuven ontdekten een beveiligingslek bij miljoenen tunneling hosts wereldwijd, waardoor hackers servers kunnen misbruiken voor hun eigen doeleinden. De onderzoekers ontdekten drie nieuwe DoS-aanvallen, mogelijk gemaakt door de slechte configuratie.
Onderzoekers van KU Leuven hebben een beveiligingsprobleem blootgelegd bij miljoenen zogenaamde tunneling hosts wereldwijd. De kwetsbare servers kunnen door hackers misbruikt worden om hun identiteit te verbergen, toegang te krijgen tot private netwerken of DoS (Denial of Service)-aanvallen uit te voeren.
Miljoenen servers kwetsbaar
Tunneling hosts verbinden computernetwerken met elkaar, maar blijken in veel gevallen slecht beveiligd. Onderzoekers van de DistriNet-groep aan KU Leuven analyseerden wereldwijd miljoenen servers met testpakketjes en ontdekten dat ruim vier miljoen hosts kwetsbaar waren. De meeste onveilige servers bevinden zich in China, Frankrijk, Japan en de VS, maar ook in Vlaanderen bleken Telenet-klanten vatbaar.
Het probleem ligt bij de veelgebruikte protocollen IP in IP en GRE (Generic Routing Encapsulation). Die ondersteunen geen versleuteling of authenticatie van de afzender, waardoor extra beveiliging via Internet Protocol Security nodig is. In de praktijk blijkt die vaak niet geïmplementeerd. In totaal vonden de onderzoekers 3,5 miljoen kwetsbare hosts met IPv4-adressen en 700.000 met IPv6-adressen.
Drie nieuwe aanvallen
De onderzoekers ontdekten bovendien drie nieuwe aanvalsmethoden die misbruik maken van onveilige tunneling hosts.
- Ping-Pong aanval: Met deze aanval sturen criminelen pakketjes eindeloos over en weer tussen servers, waardoor netwerken overbelast raken.
- Tunnelled Temporal Lensing aanval: Pakketjes nemen in dit geval verschillende routes naar een doelwit en komen tegelijk aan, waardoor een explosie in netwerkverkeer ontstaat. Opnieuw is overbelasting het doel.
- Economic DoS aanval: Hackers versturen enorme hoeveelheden data, waardoor slachtoffers hoge kosten oplopen.
Deze aanvalstechnieken kunnen ernstige gevolgen hebben voor bedrijven en overheden die afhankelijk zijn van stabiele netwerken.
Belang van veilige configuratie
De onderzoekers hebben hun bevindingen gedeeld met organisaties en bedrijven wereldwijd, waaronder de Shadowserver Foundation en het Cyber Emergency Response Team (CERT) van Carnegie Mellon University. In Vlaanderen werd ook Telenet geïnformeerd.
Om het risico te beperken, is het cruciaal dat organisaties tunneling hosts correct configureren. Dit kan door alleen verkeer van vertrouwde IP-adressen toe te laten en protocollen met versleuteling en authenticatie te gebruiken.