OVHcloud macht MikroTik-Botnetz für rekordverdächtigen DDoS-Angriff verantwortlich!
OVHcloud, ein globaler Anbieter von Cloud-Diensten und einer der größten seiner Art in Europa, gab an, Anfang des Jahres einen rekordverdächtigen Distributed-Denial-of-Service-Angriff (DDoS) abgewehrt zu haben, der eine beispiellose Paketrate von 840 Millionen Paketen pro Sekunde (Mpps) erreichte.
Das Unternehmen berichtet, dass es ab 2023 einen allgemeinen Trend zu größerer Angriffsgröße beobachtet hat. Angriffe über 1 Tbps würden häufiger auftreten und im Jahr 2024 würden sie wöchentlich oder sogar täglich auftreten.
In den letzten 18 Monaten sorgten mehrere Angriffe über längere Zeiträume für hohe Bit- und Paketraten. Die höchste von OVHcloud in diesem Zeitraum verzeichnete Bitrate betrug am 25. Mai 2024 2,5 Tbps.
Bei der Analyse einiger dieser Angriffe zeigte sich, dass in großem Umfang zentrale Netzwerkgeräte, insbesondere Mikrotik-Modelle, eingesetzt wurden. Dadurch waren die Angriffe wirkungsvoller und es war schwieriger, sie zu erkennen und zu stoppen.
Rekordverdächtiger DDoS:
Anfang des Jahres musste OVHcloud einen massiven Paketrateangriff abwehren, der 840 Mpps erreichte und damit den bisherigen Rekordhalter übertraf, einen DDoS-Angriff mit 809 Mpps auf eine europäische Bank , den Akamai im Juni 2020 abgewehrt hatte.
„Unsere Infrastruktur musste Anfang 2024 mehrere Angriffe mit über 500 Mpps abwehren, darunter einen mit einem Spitzenwert von 620 Mpps“, erklärt OVHcloud .
„Im April 2024 haben wir sogar einen rekordverdächtigen DDoS-Angriff abgewehrt, der rund 840 Mpps erreichte und damit knapp über dem vorherigen von Akamai gemeldeten Rekord lag.“
Der Cloud-Dienstleister stellte fest, dass der TCP-ACK-Angriff von 5.000 Quell-IPs ausging. Zwei Drittel der Pakete wurden über nur vier Points of Presence (PoPs) geleitet, alle in den USA und drei an der Westküste.
Die Fähigkeit des Angreifers, diesen massiven Datenverkehr auf ein relativ enges Spektrum der Internet-Infrastruktur zu konzentrieren, macht diese DDoS-Versuche noch gefährlicher und schwieriger abzuwehren.
Mächtige Mikrotiks sind schuld:
Laut OVHcloud stammen viele der von ihm aufgezeichneten Angriffe mit hoher Paketrate, einschließlich des rekordverdächtigen Angriffs vom April, von kompromittierten MirkoTik Cloud Core Router (CCR)-Geräten, die für Hochleistungsnetzwerke entwickelt wurden.
Das Unternehmen identifizierte insbesondere die kompromittierten Modelle CCR1036-8G-2S+ und CCR1072-1G-8S+, die als kleine bis mittelgroße Netzwerkkerne verwendet werden.
Bei vielen dieser Geräte war die Benutzeroberfläche online verfügbar, es lief eine veraltete Firmware, was sie anfällig für Angriffe machte, die bekannte Schwachstellen ausnutzten.
Das Cloud-Unternehmen vermutet, dass Angreifer die Funktion „Bandbreitentest“ von MikroTiks RouterOS, die für Stresstests des Netzwerkdurchsatzes entwickelt wurde, nutzen könnten, um hohe Paketraten zu erzeugen.
OVHcloud hat fast 100.000 Mikrotik-Geräte gefunden, die über das Internet erreichbar/ausnutzbar sind und damit viele potenzielle Ziele für DDoS-Akteure darstellen.
Aufgrund der hohen Verarbeitungsleistung der MikroTik-Geräte, die über 36-Core-CPUs verfügen, könnte selbst bei einer Kompromittierung nur eines kleinen Prozentsatzes dieser 100.000 ein Botnetz entstehen, das in der Lage ist, Milliarden von Paketen pro Sekunde zu generieren.
OVHcloud hat berechnet, dass die Entführung von 1 % der exponierten Modelle in ein Botnetz den Angreifern genügend Feuerkraft für Angriffe mit einer Reichweite von 2,28 Milliarden Paketen pro Sekunde (Gpps) geben könnte.
MikroTik-Geräte wurden in der Vergangenheit bereits zum Aufbau leistungsstarker Botnetze genutzt; ein bemerkenswerter Fall ist hier das Mēris-Botnetz .
Obwohl der Anbieter die Benutzer mehrfach gewarnt hatte, RouterOS auf eine sichere Version zu aktualisieren, blieben viele Geräte monatelang anfällig für Angriffe und liefen Gefahr, in DDoS-Schwärme aufgenommen zu werden.
OVHcloud gibt an, MikroTik über seine neuesten Erkenntnisse informiert zu haben, jedoch keine Antwort erhalten zu haben.