AWS zag DDoS-aanval pas uren na aanvang

AWS werd vorige week het slachtoffer van een DDoS-aanval die onder andere S3 ontoegankelijk maakte voor sommige gebruikers. In principe kan de cloudprovider zo’n aanval eenvoudig mitigeren, maar volgens een analysebureau zorgde onbetrouwbare monitoring ervoor dat AWS aanvankelijk geen problemen zag.

Vorige week zorgde een DDoS-aanval ervoor dat verschillende diensten van AWS ontoegankelijk waren voor klanten. Onder andere S3 werd getroffen, wat een grote impact had op de dienstverlening van gebruikers. AWS zelf is te groot om offline te halen met een DDoS-aanval, aangezien de bandbreedte van de cloudprovider niet op een conventionele manier te verzadigen valt. De aanvallers pakten het daarom slim aan, en gingen niet rechtstreeks achter de clouddiensten zelf.

Focus op DNS

In de plaats daarvan was de DDoS-aanval gefocust op de DNS-servers die systemen en applicaties van AWS-klanten de weg wijzen naar diensten zoals S3. De dienst zelf blijft netjes draaien, maar de toegangsweg wordt afgesneden. Concreet vielen de criminelen de Route 53 DNS-dienst van AWS aan. Volgens monitoringbureau Catchpoint zorgde verouderde beveiligingstechnieken van AWS ervoor dat de DDoS-aanval te laat werd opgemerkt, zodat mitigatie pas begon toen de aanval al een merkbare impact had voor klanten.

Het probleem is volgens Catchpoint dat AWS enkel kijkt naar de performantie van zijn diensten. S3 draaide perfect en werd niet overspoeld door verbindingsaanvragen, dus er gingen geen alarmbellen af. In tussentijd werd de weg hoger in de pipeline versperd door de DNS-aanval, maar dat was niet voelbaar bij AWS zelf. Catchpoint maakt zich sterk dat het om 6u30 lokale tijd de eerste indicaties voor de DDoS-aanval opmerkte. AWS zelf plaatst de aanval tussen 10u30 en 18u30 lokale tijd. Er is met andere woorden een discrepantie van maar liefst vijf uur tussen de eerste indicaties van een aanval en de start van de mitigatie van AWS.

AWS communiceerde vorige week als volgt over de aanval. “Op 22 oktober detecteerden en mitigeerden we een DDoS-aanval tegen Route 53 (de DNS-dienst van AWS, nvdr.). Door de manier waarop DNS-queries worden verwerkt werd de aanval eerst gevoeld door andere DNS-servers toen de queries hun weg volgenden door de resolvers naar Route 53. De aanval richtte zich op specifieke DNS-namen en paden, met name diegene die gebruikt worden voor toegang tot S3 buckets. Omdat de aanval zo breed werd uitgevoerd, begonnen verschillende DNS resolvers zelf te mitigeren. Dat zorgde ervoor dat de DNS-lookup voor enkele AWS-domeinen mislukte.”

Anders monitoren

Catchpoint verkoopt natuurlijk monitoringdiensten wat de claim in een commercieel daglicht plaatst. De dienstverlener deelde desalniettemin een rapport dat de analyse onderbouwt. Het probleem is dat monitoring van de eigen diensten moet gebeuren van waar de klant zit, en niet vanuit de eigen systemen. De enige manier om echt zeker te zijn van uptime voor de klant is om de hele verbinding van klant tot server in het oog te houden.

De aanval van vorige week illustreert dat zelfs een gigant als AWS cyberdefensie nog niet geperfectioneerd heeft en kwetsbaar is voor zelfs een rudimentaire DDoS-aanval. De cloudspecialist draagt security hoog in het vaandel met standaard encryptie en speciale beveiligingschips in zijn servers. Een DDoS-aanval op een deel van de infrastructuur komt echter niet in de buurt van die geavanceerde beveiligingsmaatregelen, maar kan toch zijn stempel drukken.

AWS communiceerde zelf nog niet over verdere details van de aanval. We vroegen de provider naar aanleiding van de analyse van Catchpoint naar een reactie in verband met de late detectie en zullen dit artikel updaten indien er een reactie komt.