Onderzoekers KU Leuven ontdekken beveiligingslek bij miljoenen servers wereldwijd: "Ook Telenet gecontacteerd"

Tunneling hosts

Tunneling hosts zijn servers of computers die als tussenstation dienen om computernetwerken met elkaar te verbinden. Het zijn cruciale schakels in het internetverkeer, maar onderzoekers van KU Leuven ontdekten dat miljoenen van deze hosts slecht beveiligd waren en makkelijk misbruikt konden worden door hackers.

"Veelgebruikte protocollen zijn IP in IP en GRE, maar die protocollen laten geen versleuteling of controle van de afzender toe. Daarvoor moet een extra beveiliging gebruikt worden: Internet Protocol Security, en net daar wringt het schoentje. Die extra beveiliging wordt vaak achterwege gelaten. In totaal vonden we meer dan 3,5 miljoen kwetsbare hosts die met IPv4 adressen werken, maar ook meer dan 700.000 die de nieuwere IPv6 adressen gebruiken." ​Professor Mathy Vanhoef, KU Leuven

Aanvallen mogelijk

Het onderzoek, dat deel is van het Cybersecurity Research Programme Flanders, legde bloot dat kwetsbare hosts door hackers gebruikt kunnen worden om hun identiteit of locatie te verbergen, en ze kunnen een toegangsweg zijn om een netwerk binnen te dringen. ​Maar de hosts kunnen ook gebruikt worden voor zogenaamde DoS-aanvallen. Een Denial of Service aanval overspoelt een server met vragen, tot die de overvloed aan vragen niet meer aankan en overbelast raakt. Concreet ontdekten de onderzoekers zelfs drie nieuwe types van zo’n aanvallen die specifiek kwetsbare tunneling hosts kunnen misbruiken.

​Met een Ping-Pong aanval kunnen pakketjes data eindeloos heen en weer kaatsen tussen servers, en zonder veel moeite netwerken overbelasten. Een Tunnelled Temporal Lensing aanval stuurt pakketjes via verschillende routes naar een doelwit. De pakketjes worden zo getimed dat ze tegelijk bij het doelwit aankomen en op heel korte tijd een explosie van netwerkverkeer veroorzaken en een website of dienst kunnen overbelasten. Een Economic DoS aanval jaagt een slachtoffer dan weer op kosten, door enorm veel data te versturen.

Inzichten delen

De onderzoekers deelden hun inzichten intussen met de eigenaars van kwetsbare infrastructuur, zodat zij extra beveiligingsmaatregelen konden nemen. De onderzoekers hebben ook samengewerkt met het Cyber Emergency Response Team (CERT) van het Software Engineering Institute (SEI) van de Carnegie Mellon Universiteit in de VS. Samen hebben ze verschillende bedrijven en organisaties rechtstreeks gecontacteerd zodat zij hun infrastructuur beter konden beveiligen.

"We hebben bijvoorbeeld samengewerkt met de Shadowserver Foundation. Zij zijn een organisatie die elke dag het Internet scant op zwakheden, en automatisch waarschuwingen stuurt naar organisaties die zijn geregistreerd bij hun. Zij scannen nu ook op de beveiligingslekken die wij ontdekt hebben.” ​Professor Mathy Vanhoef, KU Leuven

De kwetsbare infrastructuur zat verspreid over de hele wereld, maar China, Frankrijk, Japan, de VS en Brazilië waren het meest blootgesteld. Soms ging het om netwerken van grote bedrijven als China Mobile of Softbank. In Frankrijk waren duizenden thuisrouters van één internetprovider betrokken. In Vlaanderen werd ook Telenet gecontacteerd vanwege kwetsbare tunneling hosts bij hun klanten.

Het onderzoek maakt duidelijk dat een netwerk maar zo sterk is als de zwakste schakel. Veel tunneling hosts bleken slecht geconfigureerd en beveiligd, het is dus zeker voor bedrijven aan te raden deze servers goed te beveiligen. Een server kan bijvoorbeeld zo ingesteld worden dat hij alleen pakketjes van vertrouwde IP adressen aanvaardt. Dat schakelt al heel wat risico’s uit. Maar een protocol gebruiken dat voorziet in authenticatie en versleuteling is nog veiliger.