比利时研究人员指出,互联网上存在400多万个易受攻击的主机,它们接受未经身份验证的流量,并警告称,除非首席信息安全官(CISO)和网络产品制造商采取行动,否则这些主机可能会被滥用为单向代理,使攻击者能够伪造数据包源地址以访问组织的私有网络,或被利用来发动新的拒绝服务攻击。
本周,由鲁汶大学DistriNet研究单元的Angelos Beitis和Mathy Vanhoef撰写的学术论文提供了相关证据。
他们首先使用七种扫描方法扫描互联网,以查找包括台式电脑、云服务器和核心路由器在内的设备,这些设备接受未受IPSec等安全保护的传统或现代隧道流量。他们发现的400多万个易受攻击的主机接受未经身份验证的IP中的IP(IPIP)、通用路由封装(GRE)、IPv4中的IPv6(4in6)或IPv6中的IPv4(6in4)流量。默认情况下,它们不使用身份验证或加密。作者写道,这些主机不仅会受到现有攻击的滥用,研究人员还发现,它们还可能助长新的分布式拒绝服务(DDoS)放大攻击。一种攻击将流量集中在特定时间,另一种攻击在易受攻击的主机之间循环数据包,分别导致至少16倍和75倍的放大效果。
此外,这些主机还可能遭受作者所称的经济可持续性拒绝(EDoS)攻击,即主机的出站带宽被耗尽,或遭受管理拒绝服务攻击,即易受攻击的主机发送流量,导致接收方向主机的互联网服务提供商提交滥用报告,可能导致其账户被暂停。
防御措施然而,论文指出,首席信息安全官并非毫无防御之力。首先,主机应使用一组安全协议来提供身份验证和加密,如IPsec(互联网协议安全)。IPsec常用于建立虚拟专用网络(VPN),它加密IP数据包并验证数据包的来源。
“由于IPsec可以传输任何IP协议,因此可用于保护所有讨论的隧道协议;主机应仅接受使用IPsec保护的隧道数据包,”论文指出。
其次,可在路由器或其他互联网中间设备上实施入站和出站流量过滤以及深度数据包检测等网络防御措施,以防止或限制攻击造成的损害。流量过滤可防止攻击者迫使主机伪造数据包,而深度数据包检测则可检测可能的恶意隧道数据包。例如,论文指出,如果封装头的数量超过网络中隧道主机的数量x,则网络可以丢弃这些数据包。第三,论文指出,在某些网络中,还可能阻止所有传入或传出的未加密隧道数据包。例如,如果主机将IPsec与GRE结合使用,但由于配置错误也接受未加密的GRE数据包,则网络可以阻止未加密的GRE数据包。这样,主机仍然能够接收IPsec流量并正常运行,同时免受攻击。
SANS研究所研究院长约翰内斯·乌里奇评论称,主机接受未加密流量的问题并非新鲜事。“自2001年以来,人们一直在不断重新发现这一问题,”他在一封电子邮件中写道。那一年,他首次发现一些6to4隧道被用于与僵尸网络进行互联网中继聊天(IRC)通信。他写道,微软在Windows 7中启用Teredo隧道协议时,部分解决了这个问题。Teredo是一种过渡技术,可为IPv4互联网上没有本机连接到IPv6网络的IPv6兼容主机提供IPv6连接。
乌里奇写道,接受未加密流量的主机在野外已被利用过几次,“但大多数情况下,这从未成为一个大问题”。“人们还偶尔会发现,在大多数操作系统中,IPv6比IPv4更受欢迎,而在某些情况下,流氓IPv6网络可能导致VPN泄露,”他补充道。
为什么这很重要论文指出,隧道协议(包括IPIP和GRE)是互联网的重要支柱。这些协议可以连接断开连接的网络并形成虚拟专用网络(VPN)。但它们的一个局限性是,这些协议不对流量进行身份验证或加密。相反,为了保障这些协议的安全,必须将它们与IPsec结合使用。
论文指出,先前的研究表明,配置错误的IPv4主机可能会接受来自任何源的未经身份验证的IPIP隧道流量,并且这些主机可能被用于伪造IPv4地址。作者的研究表明,使用其他隧道协议的IPv4和IPv6主机也可能被利用。两位研究人员发现的新型放大DoS攻击包括:
隧道时间透镜(TuTL):此攻击将攻击者生成的数据包集中在时间上。例如,攻击者发送持续10秒的数据包,并利用协议属性确保它们在不到一秒的时间窗口内到达受害者,从而产生至少10倍的放大效果。攻击者通过多条不同的易受攻击主机链发送流量,以确保所有流量同时到达受害者。乒乓攻击:此攻击在易受攻击的主机之间循环发送攻击者发送的数据包。论文指出,攻击者的想法是构造一个隧道数据包,其中包含一个作为内层数据包的另一个隧道数据包,依此类推,直到达到最大数据包大小。内层数据包的IP头将另一个易受攻击的主机作为目的地,这意味着(解封装后的)数据包在主机之间不断发送。新型经济可持续性拒绝(EDoS)攻击旨在通过利用乒乓攻击消耗带宽来提高受害者在云上的成本。
“TuTL攻击尤其令人担忧,因为它可能被滥用来对互联网上的任何第三方主机执行DoS攻击,”作者写道。“我们的测量结果还表明,许多自治系统(总共超过4000个)没有(正确)实施源地址过滤,从而允许伪造源IP地址,”他们写道。“我们希望我们的结果能够激励并指导管理员更好地保护隧道主机。”
缓解措施在一封电子邮件中,贝蒂斯和范霍夫推测,由于一些组织和互联网服务提供商需要与旧设备向后兼容、向启用IPv6的网络过渡以及一些管理员需要在网络中保持简单性和性能等因素,这个问题多年来一直没有得到解决。
“无论如何,”他们补充道,“这个问题并非轻而易举就能解决,因为一些互联网服务提供商可能配置了错误的旧设备,将需要协调以进行更换/重新配置等。”作者在电子邮件中表示,互联网服务提供商应纳入多年来一直建议的过滤机制,以禁止伪造流量,特别是入站和出站过滤。互联网服务提供商还应确保他们的设备默认情况下不转发未经身份验证/加密的隧道数据包。他们指出,论文还讨论了需要对可疑隧道数据包进行深度数据包检查。
作者补充说,VPN供应商应确保通过纳入身份验证和加密措施(如Wireguard、IPSec协议套件、OpenVPN等)来确保其客户连接到其VPN服务器的隧道协议是安全的。
网络设备供应商应确保他们的设备默认情况下不处理不安全的数据包。理想情况下,他们应将其使用限制为仅与IPsec结合使用,并在设备配置为接受未经身份验证的隧道数据包时发出警告。如果首席信息安全官的组织拥有自己的IP范围,作者还说,它应该订阅Shadowserver Foundation以获得自动警告,因为Shadowserver会进行每日扫描,并可以通知易受攻击的主机所有者。否则,组织可以请求访问作者的工具,以确认其网络中不存在开放的隧道主机。
