Printers, routers, switches gebruikt voor DDOS aanvallen

Printers, routers, IP camera’s, sensoren en andere apparatuur dat met internet is verbonden worden tegenwoordig steeds vaker gebruikt voor het uitvoeren van grote DDOS aanvallen, aldus security bedrijf Prolexic. Er word steeds vaker gebruik gemaakt van vulnerabilities in deze apparaten waardoor het mogelijk is om mee te doen met grote aanvallen.

SNMP en NTP en CHARGEN DDoS attacks

Het rapport van Prolexic geeft aan dat het voornamelijk om 3 vulnerabilities gaat, namelijk: Simple network management protocol(SNMP), Network time protocol(NTP) en het Character generator protocol(CHARGEN). Deze protocollen zijn ruimschoots op het internet aanwezig en zijn tegenwoordig vaak standaard aanwezig in de meeste configuraties van bijvoorbeeld printers, routers en IP camera’s.

SNMP

SNMP word voornamelijk gebruikt voor het het beheren van apparaten zoals routers en printers en is meestal verbonden met het internet. Het protocol verzamelt performance en status data van het apparaat en geeft de beheerder de mogelijkheid tot het op afstand beheren.

Volgens Prolexic zijn er meerdere security problemen gevonden in sommige versies van het SNMP protocol. Sommige versies versturen hun data nog in ‘human readable’ streams zonder encryptie en zijn daardoor in trek om onderschept te worden en gebruikt te worden om data erin te modificeren om vervolgens aan te vallen.

Het protocol SNMP is tevens vulnerable voor IP spoofing omdat het de afkomst van een SNMP protocol aanvraag niet kan verifiëren waardoor het makkelijk is om het IP te spoofen. Tevens zijn alle SNMP versies ook compleet vulnerable voor brute attacks, aldus Prolexic.

Attackers hebben grote voordelen met deze vulnerable netwerk devices aangezien ze vaak aangesloten zijn op snelle internet connecties en zodoende voldoende bandbreedte tot hun beschikking hebben. Het is daarom makkelijk om met een groot aanval SNMP devices een zeer grote aanval uit te voeren, zoals bijvoorbeeld laatst is geweest op CloudFlare.

Via het SNMP protocol is het tevens mogelijk om grote amplification attacks uit te voeren, aangezien ze met een gespoofed IP een aanvraag bij een SNMP device doen en vervolgens een velen malen groter antwoord in bytes terug krijgen richting het gespoofde adres(het slachtoffer).

Voorkom DDOS aanvallen via SNMP

Om grote aanvallen te voorkomen op je netwerk of infrastructuur is het van groot belang dat je SNMP devices ‘uitzet’ of niet beschikbaar maakt vanaf het directe internet. Hierdoor kan je device nooit mee doen in een grote DDOS aanval aangezien het niet meer te besturen valt vanaf het internet.

Beveilig tevens je SNMP device als je het wel actief via het internet gebruikt door access control lists te gebruiken en read en write te disablen tenzij je het echt nodig hebt.

NTP ddos aanvallen

Hetzelfde als met SNMP gebeurd ook met NTP helaas. Via een aanvraag naar een host word een tijd update gevraagd. De aanvraag komt echter via een gespoofed IP binnen waardoor het velen malen grotere antwoord uitkomt bij het gespoofde IP(slachtoffer).

Hierdoor kan met een relatief kleine groep NTP servers een grote DDOS aanval op het slachtoffer uitgevoerd worden. We raden daarom ook iedereen aan hun NTP te checken en te beveiligen tegen NTP aanvragen vanaf buitenaf waardoor je nooit kan meedoen in een grootschalige NTP aanval.

Deel gauw met anderen:facebook Printers, routers, switches gebruikt voor DDOS aanvallen nieuws twitter Printers, routers, switches gebruikt voor DDOS aanvallen nieuws google Printers, routers, switches gebruikt voor DDOS aanvallen nieuws pinterest Printers, routers, switches gebruikt voor DDOS aanvallen nieuws linkedin Printers, routers, switches gebruikt voor DDOS aanvallen nieuws stumbleupon Printers, routers, switches gebruikt voor DDOS aanvallen nieuws print Printers, routers, switches gebruikt voor DDOS aanvallen nieuws email Printers, routers, switches gebruikt voor DDOS aanvallen nieuws

Opmerking toevoegen

Current day month ye@r *