FBI warnt vor neuen DDoS-Angriffsvektoren: CoAP, WS-DD, ARMS und Jenkins

Das FBI geht davon aus, dass die Gerätehersteller diese Protokolle nicht deaktivieren werden und warnt die Unternehmen, Präventiv- und Schutzmaßnahmen zu ergreifen.

Das Federal Bureau of Investigation warnte in der vergangenen Woche in einer Mitteilung vor der Entdeckung neuer Netzwerkprotokolle, die für groß angelegte Distributed-Denial-of-Service (DDoS)-Angriffe missbraucht wurden.

In der Warnung werden drei Netzwerkprotokolle und eine Webanwendung als neu entdeckte DDoS-Angriffsvektoren aufgeführt.

Die Liste umfasst CoAP (Constrained Application Protocol), WS-DD (Web Services Dynamic Discovery), ARMS (Apple Remote Management Service) und die webbasierte Automatisierungssoftware Jenkins.

Drei der vier (CoAP, WS-DD, ARMS) seien bereits in der realen Welt missbraucht worden, um massive DDoS-Angriffe zu starten, teilte das FBI auf der Grundlage der früheren Berichterstattung des ZDNet mit.

CoAP

Im Dezember 2018 begannen Cyber-Akteure damit, die Multicast- und Befehlsübertragungsfunktionen des Constrained Application Protocol (CoAP) zu missbrauchen, um DDoS-Reflexions- und Verstärkungsangriffe durchzuführen, was laut Open-Source-Berichten zu einem Verstärkungsfaktor von 34 führte. Im Januar 2019 befand sich die große Mehrheit der über das Internet zugänglichen CoAP-Geräte in China und benutzte mobile Peer-to-Peer-Netzwerke.

WS-DDD

Im Mai und August 2019 nutzten Cyber-Akteure das Web Services Dynamic Discovery (WS-DD)-Protokoll aus, um laut Open-Source-Berichten mehr als 130 DDoS-Angriffe zu starten, von denen einige Größen von mehr als 350 Gigabit pro Sekunde (Gbps) erreichten, und zwar in zwei getrennten Angriffswellen. Im Laufe desselben Jahres berichteten mehrere Sicherheitsforscher über eine Zunahme der Verwendung von Nicht-Standardprotokollen und falsch konfigurierten IoT-Geräten durch Cyber-Akteure, um DDoS-Angriffe zu verstärken, wie aus separaten Open-Source-Berichten hervorgeht. IoT-Geräte sind attraktive Ziele, da sie das WS-DD-Protokoll nutzen, um automatisch neue, mit dem Internet verbundene Geräte in der Nähe zu erkennen. Darüber hinaus arbeitet WS-DD mit UDP, das es den Akteuren ermöglicht, die IP-Adresse eines Opfers zu fälschen, was dazu führt, dass das Opfer mit Daten von IoT-Geräten in der Nähe überflutet wird. Im August 2019 gab es 630.000 internetfähige IoT-Geräte mit aktiviertem WS-DD-Protokoll.

ARMS

Im Oktober 2019 nutzten Cyber-Akteure laut Open-Source-Berichten den Apple Remote Management Service (ARMS), einen Teil der Apple Remote Desktop (ARD)-Funktion, aus, um DDoS-Verstärkungsangriffe durchzuführen. Bei aktivierter ARD-Funktion begann der ARMS-Dienst, auf Port 3283 nach eingehenden Befehlen an entfernte Apple-Geräte zu lauschen, die die Angreifer nutzten, um DDoS-Verstärkungsangriffe mit einem Verstärkungsfaktor von 35,5:1 durchzuführen. Die ARD wird vor allem zur Verwaltung großer Flotten von Apple Macs von Universitäten und Unternehmen genutzt.

Jenkins

Im Februar 2020 identifizierten britische Sicherheitsforscher eine Schwachstelle in den integrierten Netzwerkerkennungsprotokollen von Jenkins-Servern - freie Open-Source-Automationsserver, die zur Unterstützung des Softwareentwicklungsprozesses eingesetzt werden und die Cyber-Akteure zur Durchführung von DDoS-Verstärkungsangriffen ausnutzen könnten - laut Open-Source-Berichten. Die Forscher schätzten, dass Cyber-Akteure anfällige Jenkins-Server nutzen könnten, um den DDoS-Angriffsverkehr gegen die Online-Infrastruktur gezielter Opfer sektorübergreifend um das Hundertfache zu verstärken.

FBI-Beamte glauben, dass diese neuen DDoS-Bedrohungen auf absehbare Zeit weiter ausgenutzt werden, um Ausfallzeiten und Schäden zu verursachen.

Zweck der Warnung ist es, US-Unternehmen vor der drohenden Gefahr zu warnen, damit sie in DDoS-Minderungssysteme investieren und Partnerschaften mit ihren Internet-Service-Providern eingehen können, um unter Ausnutzung dieser neuen Vektoren schnell auf alle Angriffe reagieren zu können.

Da es sich bei diesen neu entdeckten DDoS-Vektoren um Netzwerkprotokolle handelt, die für die Geräte, in denen sie verwendet werden (IoT-Geräte, Smartphones, Macs), von wesentlicher Bedeutung sind, ist es nach Angaben des FBI unwahrscheinlich, dass die Gerätehersteller die Protokolle in ihren Produkten entfernen oder deaktivieren werden, so dass die Gefahr einer neuen Welle von DDoS-Angriffen droht.

In naher Zukunft werden Cyber-Akteure wahrscheinlich die wachsende Zahl von Geräten mit eingebauten Netzwerkprotokollen, die standardmäßig aktiviert sind, ausnutzen, um groß angelegte Botnets zu schaffen, die verheerende DDoS-Angriffe ermöglichen.

Bisher wurden diese vier neuen DDoS-Angriffsvektoren nur sporadisch eingesetzt, aber Branchenexperten erwarten, dass sie von DDoS-Mietdiensten in großem Umfang missbraucht werden.