De KU Leuven ontdekte een groot beveiligingslek die computerservers wereldwijd kwetsbaar maken voor hackers. In totaal werden 4 miljoen kwetsbare gebruikers gevonden, vooral in de VS, Frankrijk, China en Japan.
Voor het onderzoek van de KU Leuven werden computerservers door middel van testen aan de tand gevoeld. Onderzoekers van DistriNet, verbonden aan het departement van computerwetenschappen, stuurden hiervoor onschadelijke testpakketjes met data naar miljoenen apparaten over de hele wereld.
De pakketjes werden verpakt met een tunneling protocol om de weerstand van tunneling hosts ofwel servers te testen. Deze servers zijn de schakels tussen computernetwerken. Hosts of servers die de pakketjes toelieten, zijn kwetsbaar.
Nieuwe aanvalstechnieken
De onderzoekers onderscheidden verschillende manieren waarop hackers de kwetsbare servers zouden kunnen misbruiken. Daarbij werden ook enkele nieuwe types aanvallen ontdekt.
- Ping-Pong-aanval: De servers spelen bij dit type aanval een digitaal potje Ping-Pong en kaatsen de pakketjes heen-en-weer. Dit kan een overbelasting van het netwerk veroorzaken.
- Tunnelled Temporal Lensing: Dit zorgt opnieuw voor een overbelasting, maar ditmaal door pakketjes via verschillende routes tegelijk bij een doelwit te laten aankomen.
- Economic DoS-aanval: Een type Denial of Service (DoS)-aanval waarbij een server wordt overspoeld door pakketjes. In dit type aanval wordt het slachtoffer tegelijk op kosten gejaagd.
Softbank-netwerk kwetsbaar
De onderzoekers spreken zich slechts over twee bedrijven uit waar de servers kwetsbaar van bleken te zijn. De Japanse telecomprovider Softbank is een van de genoemde, het bedrijf is eveneens eigenaar van chipmaker Arm dat zich richt op de mobiele markt. Recenter doet het bedrijf investeringen in AI, met de overname van Graphcore en een partnership met OpenAI.
Lees ook: Na Arm-avontuur neemt SoftBank het Britse Graphcore over
Daarnaast benoemt de KU Leuven nog China Mobile. De kwetsbare servers zaten voornamelijk verspreid over China, Frankrijk, Japan, de VS en Brazilië. De Vlaamse universiteit ging ook in eigen land na of er problemen waren. Het bleek nodig te zijn telecomprovider Telenet te contacteren vanwege kwetsbare tunneling hosts bij klanten.
Advies
De onderzoekers hebben de eigenaars van kwetsbare infrastructuur reeds geïnformeerd. De onderzoekers raden aan de configuratie van tunneling hosts goed te controleren. Zij geven aan dat het een goed idee is een server zo te configureren dat alleen pakketjes van vertrouwde IP-adressen worden aanvaard. “Maar een protocol gebruiken dat voorziet in authenticatie en versleuteling is nog veiliger.”
“Veelgebruikte protocollen zijn IP in IP en GRE (Generic Routing Encapsulation), maar die protocollen laten geen versleuteling of controle van de afzender toe”, vertelt professor Mathy Vanhoef verbonden aan de KU Leuven. “Daarvoor moet een extra beveiliging gebruikt worden, Internet Protocol Security, en net daar wringt het schoentje: die extra beveiliging wordt vaak achterwege gelaten. In totaal vonden we meer dan 3,5 miljoen kwetsbare hosts die met IPv4-adressen werken, maar ook meer dan 700.000 die de nieuwere IPv6-adressen gebruiken.”
Tip! Interpol haalt tienduizenden kwaadaardige IP-adressen en -servers offline