OVHcloud, ein globaler Anbieter von Cloud-Diensten und einer der größten seiner Art in Europa, hat nach eigenen Angaben Anfang des Jahres einen rekordverdächtigen DDoS-Angriff (Distributed Denial of Service) abgewehrt, der eine noch nie dagewesene Paketrate von 840 Millionen Paketen pro Sekunde (Mpps) erreichte.
Das Unternehmen berichtet, dass ab 2023 ein allgemeiner Trend zu immer größeren Angriffen zu beobachten ist, wobei Angriffe mit mehr als 1 TBit/s immer häufiger werden und 2024 sogar wöchentlich oder fast täglich auftreten.
Mehrere Angriffe hielten in den vergangenen 18 Monaten über längere Zeiträume hohe Bit- und Paketraten aufrecht, wobei die höchste von OVHcloud in diesem Zeitraum aufgezeichnete Bitrate 2,5 Tbps am 25. Mai 2024 betrug.
Die Analyse einiger dieser Angriffe ergab, dass in großem Umfang Kernnetzgeräte, insbesondere Mikrotik-Modelle, verwendet wurden, was die Angriffe noch wirkungsvoller und schwieriger zu erkennen und zu stoppen machte.
Rekordverdächtiger DDoS
Anfang dieses Jahres musste OVHcloud einen massiven Angriff mit einer Paketrate von 840 Mpps entschärfen und übertraf damit den bisherigen Rekordhalter, einen DDoS-Angriff mit 809 Mpps auf eine europäische Bank, den Akamai im Juni 2020 entschärfte.
"Unsere Infrastruktur musste Anfang 2024 mehrere Angriffe mit 500+ Mpps abwehren, darunter einen mit 620 Mpps in der Spitze", erklärt OVHcloud.
"Im April 2024 entschärften wir sogar einen rekordverdächtigen DDoS-Angriff mit ~840 Mpps, der knapp über dem bisherigen Rekord von Akamai lag."
Der Cloud-Dienstleister stellte fest, dass der TCP ACK-Angriff von 5.000 Quell-IPs ausging. Zwei Drittel der Pakete wurden über nur vier Points of Presence (PoPs) geleitet, die sich alle in den Vereinigten Staaten und drei an der Westküste befanden.
Die Fähigkeit des Angreifers, diesen massiven Datenverkehr über ein relativ schmales Spektrum der Internet-Infrastruktur zu bündeln, macht diese DDoS-Versuche noch eindrucksvoller und schwieriger zu entschärfen.
Leistungsstarke Mikrotiks verantwortlich gemacht
OVHcloud sagt, dass viele der aufgezeichneten Angriffe mit hoher Paketrate, einschließlich des rekordverdächtigen Angriffs vom April, von kompromittierten MirkoTik Cloud Core Router (CCR) Geräten stammen, die für Hochleistungsnetzwerke entwickelt wurden.
Das Unternehmen identifizierte insbesondere die kompromittierten Modelle CCR1036-8G-2S+ und CCR1072-1G-8S+, die als kleine bis mittelgroße Netzwerkkerne eingesetzt werden.
Viele dieser Geräte stellten ihre Schnittstelle online zur Verfügung, so dass sie mit veralteter Firmware arbeiten und anfällig für Angriffe sind, die bekannte Sicherheitslücken ausnutzen.
Die Cloud-Firma vermutet, dass Angreifer die "Bandwidth Test"-Funktion von MikroTiks RouterOS, die für Stresstests des Netzwerkdurchsatzes entwickelt wurde, nutzen könnten, um hohe Paketraten zu erzeugen.
OVHcloud fand fast 100.000 Mikrotik-Geräte, die über das Internet erreichbar/ausnutzbar sind, was viele potenzielle Ziele für DDoS-Akteure darstellt.
Aufgrund der hohen Verarbeitungsleistung der MikroTik-Geräte, die mit 36-Core-CPUs ausgestattet sind, könnte selbst ein kleiner Prozentsatz dieser 100k kompromittiert werden und zu einem Botnet führen, das Milliarden von Paketen pro Sekunde erzeugen kann.
OVHcloud hat errechnet, dass Angreifer durch das Hijacking von 1% der exponierten Modelle in ein Botnet genügend Feuerkraft haben, um Angriffe mit bis zu 2,28 Milliarden Paketen pro Sekunde (Gpps) zu starten.
MikroTik-Geräte wurden in der Vergangenheit bereits für den Aufbau leistungsfähiger Botnets genutzt, wie z. B. das Mēris-Botnet.
Trotz mehrfacher Warnungen des Herstellers an die Nutzer, RouterOS auf eine sichere Version zu aktualisieren, blieben viele Geräte monatelang anfällig für Angriffe und riskierten, in DDoS-Schwärme aufgenommen zu werden.
OVHcloud sagt, dass es MikroTik über seine neuesten Erkenntnisse informiert hat, aber keine Antwort erhalten hat.
