Amazon Web Services (AWS) laat weten dat het eerder dit jaar in februari werd getroffen door een DDoS-aanval met een recordcapaciteit van 2,3 Tbps. De aanval hield gedurende drie dagen aan, maar slaagde er niet in om de clouddiensten onderuit te halen.
Om die 2,3 Tbps in perspectief te plaatsen: dat is bijna het dubbele van de 1,3 Tbps-aanval die GitHub in 2018 trof, en op dat moment een van de grootste DDoS-aanvallen ooit was. Twee jaar eerder werd DNS-provider Dyn op zijn knieën gedwongen door een DDoS-aanval van 1 Tbps via het Mirai-botnet.
De aanval op AWS maakte gebruik van CLDAP Reflection en was 44 procent groter in omvang dan wat de cloudprovider ooit al had gezien, zo klinkt het in het AWS Shield Threat Landscape Report voor het eerste kwartaal van dit jaar.
Een reflectie-aanval maakt misbruik van een legitiem protocol door een verzoek naar een externe server te sturen met een vervalst IP-adres. Het antwoord is veel groter en wordt teruggestuurd naar het vervalste IP-adres van het onwetende slachtoffer. In geval van CLDAP Reflection wordt misbruik gemaakt van de verbindingsloze versie van het Lightweight Directory Access Protocol (LDAP).
AWS wist de aanval, ondanks de enorme omvang, goed te doorstaan en zijn cloudinfrastructuur bleef overeind. Eind vorig jaar zag de public cloudreus zijn diensten wel offline gaan, nadat een DDoS-aanval in oktober zijn DNS-service trof.
Andere aanvallen
AWS belicht in zijn rapport ook de vier meest prominente methodes die in het eerste kwartaal van dit jaar werden gebruikt om de clouddiensten te proberen aanvallen. In totaal werden 41 miljoen pogingen geregistreerd, waarvan onderstaande vier technieken zo’n 31 procent vertegenwoordigden.
- Een RCE-kwetsbaarheid (Remote Code Execution) in Docker waarbij de aanvaller probeert een Docker-engine-API te misbruiken om een container te bouwen zonder toestemming.
- SSH-inbraakpogingen waarbij de aanvaller manieren zoekt om onbevoegde toegang tot de applicatie te krijgen via veelgebruikte inloggegevens of andere exploits.
- Een RCE-kwetsbaarheid in Redis waarbij de aanvaller probeert de API van een Redis-database te misbruiken om toegang op afstand te krijgen tot de applicatie of onderliggende database, of die onbeschikbaar te maken voor eindgebruikers.
- Een RCE-kwetsbaarheid in Apache Hadoop YARN waarbij de aanvaller probeert de API van het resource management system van een Hadoop-cluster te misbruiken en code uit te voeren zonder toestemming.