Bekijk alle channels
  • Home
  • Industry Wire
  • KU Leuven onderzoekers leggen beveiligingslek bloot bij miljoenen computerservers

Industry Wire

Geplaatst door KU Leuven

KU Leuven onderzoekers leggen beveiligingslek bloot bij miljoenen computerservers

Tunneling hosts zijn servers of computers die als tussenstation dienen om computernetwerken met elkaar te verbinden. Het zijn cruciale schakels in het internetverkeer, maar onderzoekers van KU Leuven ontdekten dat miljoenen van deze hosts slecht beveiligd waren en makkelijk misbruikt konden worden door hackers. Die zouden de hosts kunnen gebruiken om hun identiteit te verbergen, toegang te krijgen tot privé-netwerken, of om DoS (Denial-of-Service)-aanvallen mee uit te voeren die systemen overbelasten. In totaal werden meer dan 4 miljoen kwetsbare hosts gevonden, vooral in China, Frankrijk, Japan en de VS. Maar ook veel Telenet klanten bleken kwetsbaar. Intussen werden alle betrokkenen gewaarschuwd en werden de hosts beter beveiligd.

De onderzoekers van de DistriNet onderzoeksgroep aan KU Leuven stuurden speciale, onschadelijke, testpakketjes met data naar miljoenen apparaten over de hele wereld, en keken of de servers hun pakketje doorlieten. De pakketjes gebruiken een tunneling protocol, een bepaalde manier van verpakken, zeg maar. ​
​​
​Professor Mathy Vanhoef: “Veelgebruikte protocollen zijn IP in IP en GRE (Generic Routing Encapsulation), maar die protocollen laten geen versleuteling of controle van de afzender toe. Daarvoor moet een extra beveiliging gebruikt worden: Internet Protocol Security, en net daar wringt het schoentje: die extra beveiliging wordt vaak achterwege gelaten. In totaal vonden we meer dan 3,5 miljoen kwetsbare hosts die met IPv4 adressen werken, maar ook meer dan 700.000 die de nieuwere IPv6 adressen gebruiken.”

Nieuwe types aanvallen mogelijk

Het onderzoek, dat deel is van het Cybersecurity Research Programme Flanders, legde bloot dat kwetsbare hosts door hackers gebruikt kunnen worden om hun identiteit of locatie te verbergen, en ze kunnen een toegangsweg zijn om een netwerk binnen te dringen. ​
​​
​Maar, de hosts kunnen ook gebruikt worden voor zogenaamde DoS-aanvallen. Een Denial of Service aanval overspoelt een server met vragen, tot die de overvloed aan vragen niet meer aankan en overbelast raakt. Concreet ontdekten de onderzoekers zelfs drie nieuwe types van zo’n aanvallen die specifiek kwetsbare tunneling hostskunnen misbruiken. ​
​​
​Met een Ping-Pong aanval kunnen pakketjes data eindeloos heen en weer kaatsen tussen servers, en zonder veel moeite netwerken overbelasten. Een Tunnelled Temporal Lensing aanval stuurt pakketjes via verschillende routes naar een doelwit. De pakketjes worden zo getimed dat ze tegelijk bij het doelwit aankomen en op heel korte tijd een explosie van netwerkverkeer veroorzaken en een website of dienst kunnen overbelasten. Een Economic DoS aanval jaagt een slachtoffer dan weer op kosten, door enorm veel data te versturen.

Inzichten gedeeld

De onderzoekers deelden hun inzichten intussen met de eigenaars van kwetsbare infrastructuur, zodat zij extra beveiligingsmaatregelen konden nemen. “We hebben bijvoorbeeld samengewerkt met de Shadowserver Foundation”, zegt professor Mathy Vanhoef. “Zij zijn een organisatie die elke dag het Internet scant op zwakheden, en automatisch waarschuwingen stuurt naar organisaties die zijn geregistreerd bij hun. Zij scannen nu ook op de beveiligingslekken die wij ontdekt hebben.”

De onderzoekers hebben ook samengewerkt met het Cyber Emergency Response Team (CERT) van het Software Engineering Institute (SEI) van de Carnegie Mellon Universiteit in de VS. Samen hebben ze verschillende bedrijven en organisaties rechtstreeks gecontacteerd zodat zij hun infrastructuur beter konden beveiligen.

De kwetsbare infrastructuur zat verspreid over de hele wereld, maar China, Frankrijk, Japan, de VS en Brazilië waren het meest blootgesteld. Soms ging het om netwerken van grote bedrijven als China Mobile of Softbank. In Frankrijk waren duizenden thuisrouters van één internetprovider betrokken. In Vlaanderen werd ook Telenet gecontacteerd vanwege kwetsbare tunneling hosts bij hun klanten.

Extra beveiliging

Het onderzoek maakt duidelijk dat een netwerk maar zo sterk is als de zwakste schakel. Veel tunneling hosts bleken slecht geconfigureerd en beveiligd, het is dus zeker voor bedrijven aan te raden deze servers goed te beveiligen. Een server kan bijvoorbeeld zo ingesteld worden dat hij alleen pakketjes van vertrouwde IP adressen aanvaardt. Dat schakelt al heel wat risico’s uit. Maar een protocol gebruiken dat voorziet in authenticatie en versleuteling is nog veiliger.

Meer informatie

De paper Haunted by Legacy: Discovering and Exploiting Vulnerable Tunnelling Hosts van A. Beitis en M. Vanhoef wordt deze zomer voorgesteld op de USENIX 2025 conferentie in Seattle. Het onderzoek werd mee ondersteund door het Research Fund KU Leuven en het Cybersecurity Research Programme Flanders

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.

Deel dit bericht