Die zouden de hosts kunnen gebruiken om hun identiteit te verbergen, toegang te krijgen tot privé-netwerken, of om DoS (Denial-of-Service)-aanvallen mee uit te voeren die systemen overbelasten. In totaal werden meer dan 4 miljoen kwetsbare hosts gevonden, vooral in China, Frankrijk, Japan en de VS. Maar ook veel Telenet klanten bleken kwetsbaar. Intussen werden alle betrokkenen gewaarschuwd en werden de hosts beter beveiligd.
De onderzoekers van de DistriNet onderzoeksgroep aan KU Leuven stuurden speciale, onschadelijke, testpakketjes met data naar miljoenen apparaten over de hele wereld, en keken of de servers hun pakketje doorlieten. De pakketjes gebruiken een tunneling protocol, een bepaalde manier van verpakken, zeg maar.
Nieuwe types aanvallen mogelijk
Het onderzoek, dat deel is van het Cybersecurity Research Programme Flanders, legde bloot dat kwetsbare hosts door hackers gebruikt kunnen worden om hun identiteit of locatie te verbergen, en ze kunnen een toegangsweg zijn om een netwerk binnen te dringen.
Maar, de hosts kunnen ook gebruikt worden voor zogenaamde DoS-aanvallen. Een Denial of Service aanval overspoelt een server met vragen, tot die de overvloed aan vragen niet meer aankan en overbelast raakt. Concreet ontdekten de onderzoekers zelfs drie nieuwe types van zo’n aanvallen die specifiek kwetsbare tunneling hosts kunnen misbruiken.
Met een Ping-Pong aanval kunnen pakketjes data eindeloos heen en weer kaatsen tussen servers, en zonder veel moeite netwerken overbelasten. Een Tunnelled Temporal Lensing aanval stuurt pakketjes via verschillende routes naar een doelwit. De pakketjes worden zo getimed dat ze tegelijk bij het doelwit aankomen en op heel korte tijd een explosie van netwerkverkeer veroorzaken en een website of dienst kunnen overbelasten. Een Economic DoS aanval jaagt een slachtoffer dan weer op kosten, door enorm veel data te versturen.
Inzichten gedeeld
De onderzoekers deelden hun inzichten intussen met de eigenaars van kwetsbare infrastructuur, zodat zij extra beveiligingsmaatregelen konden nemen. “We hebben bijvoorbeeld samengewerkt met de Shadowserver Foundation”, zegt professor Mathy Vanhoef. “Zij zijn een organisatie die elke dag het Internet scant op zwakheden, en automatisch waarschuwingen stuurt naar organisaties die zijn geregistreerd bij hun. Zij scannen nu ook op de beveiligingslekken die wij ontdekt hebben.”
De onderzoekers hebben ook samengewerkt met het Cyber Emergency Response Team (CERT) van het Software Engineering Institute (SEI) van de Carnegie Mellon Universiteit in de VS. Samen hebben ze verschillende bedrijven en organisaties rechtstreeks gecontacteerd zodat zij hun infrastructuur beter konden beveiligen.
De kwetsbare infrastructuur zat verspreid over de hele wereld, maar China, Frankrijk, Japan, de VS en Brazilië waren het meest blootgesteld. Soms ging het om netwerken van grote bedrijven als China Mobile of Softbank. In Frankrijk waren duizenden thuisrouters van één internetprovider betrokken. In Vlaanderen werd ook Telenet gecontacteerd vanwege kwetsbare tunneling hosts bij hun klanten.
Extra beveiliging
Het onderzoek maakt duidelijk dat een netwerk maar zo sterk is als de zwakste schakel. Veel tunneling hosts bleken slecht geconfigureerd en beveiligd, het is dus zeker voor bedrijven aan te raden deze servers goed te beveiligen. Een server kan bijvoorbeeld zo ingesteld worden dat hij alleen pakketjes van vertrouwde IP adressen aanvaardt. Dat schakelt al heel wat risico’s uit. Maar een protocol gebruiken dat voorziet in authenticatie en versleuteling is nog veiliger.