Alle Fakten zum „PhoneHome“-DDoS-Angriff
[ Sie werden angegriffen? Klicken Sie hier für unseren Notfallsupport bei DDoS-Angriffen. ]
Eine Schwachstelle bei MiCollab, einer Softwaresuite für die Zusammenarbeit in Unternehmen des Telekommunikationsunternehmens Mitel, wurde mit rekordverdächtigem Verstärkungspotenzial für DDoS-Angriffe (Distributed Denial of Service) missbraucht.
Tathergang
Mitte Februar 2022 beobachteten Sicherheitsexperten, Netzwerkbetreiber und Anbieter von Sicherheitslösungen einen Anstieg von DDoS-Angriffen auf Internetprovider, Finanzinstitute, Logistikunternehmen und zahlreiche Unternehmen anderer Märkte.
Akamai arbeitete mit anderen Vertretern aus der Informationssicherheit zusammen, um die Angriffe zu untersuchen. Eine detaillierte Analyse wurde am 8. März veröffentlicht. Die Angriffe konnten zu Hardwarekomponenten (TP‑240-VoIP-Schnittstellenkarten) zurückverfolgt werden, die Bestandteil der Mitel-Produkte MiCollab und MiVoice Business Express sind, einem fortschrittlichen System für Geschäftstelefonie.
Die Arbeitsgruppe stellte fest, dass etwa 2.600 dieser Systeme so konfiguriert waren, dass Kriminelle sie missbrauchen konnten, um über das Internet DDoS-Angriffe gegen andere Netzwerke zu lancieren. Diese Schwachstelle wird „TP240PhoneHome“ genannt, als CVE-2022-26143verfolgt und aktiv ausgenutzt.
Welche Relevanz hat der DDoS-Angriff TP240PhoneHome?
Bemerkenswert ist TP240PhoneHome hinsichtlich seines Verstärkungspotenzials, welches alle bisher bekannten DDoS-Angriffe in den Schatten stellt. Normalerweise müssten Cyberkriminelle einen konstanten Netzwerktraffic zum missbrauchten Server aufrechterhalten, damit die Attacke gelingt. In diesem Fall müssen sie hingegen nur einmal einen geringen Netzwerktraffic zur Initiierung des Angriffs senden. Daraufhin sendet der missbrauchte Server kontinuierlich eine größere, verstärkte Trafficmenge an die Zielsysteme, um diese zu überfordern und einen Denial of Service zu verursachen, der praktisch zum Ausfall führt.
Zuvor konnte der größte bekannte Verstärker den Angriffstraffic um Faktor 51.000 steigern. TP240PhoneHome erhöht diesen Rekord auf über 4 Milliarden: Für ein einziges angriffsauslösendes Paket, das an den missbrauchten Server gesendet wird, werden sage und schreibe 4.294.967.296 Netzwerkpakete an Angriffstraffic generiert und an das Zielnetzwerk gesendet. Und da diese Pakete noch an Größe zunehmen, ergibt sich daraus eine Trafficverstärkung von über 220 Milliarden Prozent.
Wie gefährlich ist der DDoS-Angriff TP240PhoneHome?
Die kurze Antwort lautet: Trotz seiner rekordverdächtigen Verstärkungseffizienz ist das Risiko durch diesen Exploit für Unternehmen, die über solide DDoS-Schutzmaßnahmen verfügen, gering. Ohne solche Schutzebenen kann dieser Angriff (wie viele andere DDoS-Angriffe) schwere Schäden und Betriebsunterbrechungen verursachen, da Systeme und Anwendungen über einen längeren Zeitraum nicht erreichbar und unbrauchbar werden.
Der TP240PhoneHome-Angriff basiert auf falsch konfigurierten Mitel-MiCollab-Systemen, von denen es nach unseren Erkenntnissen zum Zeitpunkt der Untersuchung nur etwa 2.600 gab. Das begrenzt das Gesamtvolumen ebenso wie der Umstand, dass die Angriffe nur seriell, aber nicht parallel ausgeführt werden können.
Mitel wurde über das Problem in Kenntnis gesetzt und hat inzwischen eine Sicherheitsempfehlung und Anweisungen zur Beseitigung der Schwachstelle veröffentlicht. Bei Mitel-Kunden mit betroffenen Systemen können Nebenwirkungen wie eine teilweise oder vollständige Unterbrechung der Sprachkommunikation sowie performance- und funktionsbezogene Verschlechterungen auftreten.
Wie kann Akamai Ihnen helfen?
Kunden, die unsere DDoS-Schutzlösung Akamai Prolexicverwenden, sind bereits auf der sicheren Seite.Denn Prolexic kann mit Verstärkungsangriffen wie TP240PhoneHome umgehen und den Angriffstraffic von Ihrem Netzwerk und Ihren Servern fernhalten. Prolexic kann die erwarteten Volumen problemlos bewältigen und wurde um spezifische Regeln zur Abwehr von TP240PhoneHome-Angriffen aktualisiert. Durch das Service-Level Agreement (SLA) von null Sekunden würde Prolexic einen potenziellen Angriff sofort abwehren, ohne dass eine Unterbrechung des Dienstes oder Performanceeinbußen in Ihren Systemen spürbar wären.
Kundenseitige Webanwendungen auf der Akamai Intelligent Edge Platform, die etwa Akamai App & API Protector oder Traffic verwenden, der über CDN-Lösungen (Content Delivery Network)bedient wird, sind aufgrund der Plattformbeschaffenheit inhärent vor solchen DDoS-Attacken geschützt. Unsere Plattform ist als Reverse-Proxy konzipiert und akzeptiert nur ordnungsgemäß formatierten HTTP(S)-Traffic. Sämtliche DDoS-Angriffe auf Netzwerkebene werden automatisch abgewehrt. Prolexic soll eine Verteidigung gegen Angriffe bieten, welche die Akamai-Plattform umgehen, indem sie die Ursprungsserver direkt angreifen.
Wie erkennt und wehrt Akamai DDoS-Angriffe ab?
Akamai verfügt über einen breit gefächerten Funktionsumfang zur Abwehr der größten, komplexesten und aktuellsten DDoS-Vektoren der Welt. Akamai betreibt mit fast 365.000 Servern in 135 Ländern die weltweit größte und vertrauenswürdigste Cloud-Delivery-Plattform. Niemand beobachtet und analysiert so viel Netzwerktraffic wie wir. Das Akamai Security Intelligence Response Team (SIRT) arbeitet mit unserer Kundschaft ebenso wie mit anderen Vertretern aus der Informationssicherheit, der Produktentwicklung, dem Netzwerkbetrieb und unseren Security Operations Centers zusammen, um Bedrohungsvektoren zu erkennen und abzuwehren sowie einen optimalen Schutz für geschäftskritische Services zu bieten.
Welche Best Practices werden für den DDoS-Schutz empfohlen?
Akamai empfiehlt verschiedene Best Practices für den Umgang mit DDoS-Risiken. Die erste und wichtigste Maßnahme besteht in der Implementierung einer cloudbasierten Lösung zur DDoS-Abwehr wie Edge DNS oder Prolexic. Genau damit lassen sich diese Angriffe mit den besten Erfolgschancen abfangen und abwehren.
Zweitens empfehlen wir Unternehmen dringend, mit einem MSS-Anbieter (Managed Security Services) zusammenzuarbeiten, der über das nötige Fachwissen und die technischen Kapazitäten verfügt, um diese Bedrohungen zu erkennen, Vorschläge für einen Verteidigungsplan zu machen und diesen auszuführen, um Angriffe ohne Betriebsunterbrechung zu beenden. Interne Teams sind mit der Durchführung regelmäßiger Bedrohungsvalidierungen, der Risikobewertung, Betriebsbereitschaft und Angriffsvorbereitung schnell überfordert. Am besten schafft da ein starker Partner Abhilfe, der auf die Bereitstellung von Cybersicherheitsdiensten spezialisiert ist und Bedrohungsinformationen aus einem breiten Kundenstamm gebündelt nutzen kann.
Weitere Informationen
Hier erfahren Sie mehr über den Akamai Managed Security Service. Sollten Sie Fragen haben, können Sie uns jederzeit kontaktieren .
