Google Maps Plug-in für Joomla wird für DDoS-Angriffe missbraucht

IT-ManagementIT-ProjekteSicherheitSicherheitsmanagement
DDos-Attacke (Bild: Shutterstock / Evlakhov Valeriy)

Experten von Akamai haben gemeinsam mit den Security-Spezialisten von PhishLabs eine Reihe neuartiger DDoS-Angriffe entdeckt. Sie richten sich gegen Web-Applikationen, die bei SaaS-Providern gehostet werden. Die Angreifer nutzen dafür ein unsicheres Google Maps Plug-in aus, das zusammen mit dem Content Management System Joomla verwendet wird.

In einem Sicherheitshinweis warnt Akamai Joomla-Nutzer davor, dass ein für das Content-Management-System angebotenes Google Maps Plug-in Kriminellen DDos-Attacken ermöglicht. Das Prolexic Security Engineering & Research Team von Akamai und US-amerikanische Unternehmen PhishLabs R.A.I.D. (Research, Analysis, and Intelligence Division) haben diese Angriffe entdeckt und näher untersucht.

DDos-Attacke  (Bild: Shutterstock / Evlakhov Valeriy)

Demnach erlaubt es eine bekannten Sicherheitslücke im Google Maps Plug-in für Joomla Angreifern, das Plug-in als Proxy zu missbrauchen. Dadurch verschleiert der Angreifer seine Identität. Für die Angegriffenen bleibt die tatsächliche Herkunft der Anfragen unbekannt, da diese ja von einem Joomla-Server zu stammen scheinen.

Die Lücke wird bereits ausgenutzt. Die Experten ermittelten in ihrer Arbeit DDoS-Traffic, der von mehreren Joomla-Webseiten mit fehlerhaft konfigurierten Google Maps Plug-ins stammte. Sie stellten zudem fest, dass solche Websites bereits massenhaft für GET-Flood-DDoS-Angriffe eingesetzt wurde. Bei ihren weiteren Untersuchungen brachten sie in Erfahrung, dass Angriffe dieser Art inzwischen sogar schon auf Webseiten angepriesen werden, die DDoS-Attacken im Auftrag durchführen.

Dem Prolexic Security Engineering & Research Team zufolge sind potenziell mehr als 150.000 Joomla-Webseiten im Internet gefährdet. Bei einem im November 2014 abgewehrten DDoS-Angriff, der seinen Ursprung bei Joomla-Web-Servern hatte; stammte die Mehrheit der IP-Adressen, von denen die Angriffe ausgingen, aus Deutschland. Die gleichen IP-Adressen kamen den Akamai-Experten zufolge auch bei DDoS-Attacken auf Web-Hoster sowie auf Unternehmen aus der Unterhaltungs- und Konsumgüterindustrie zum Einsatz.

Die so durchgeführten Angriffe gehören zur Kategorie der sogenannten Reflection-basierenden DDoS-Angriffe. Auf die entfielen laut Akamai im vierten Quartal 2014 fast 40 Prozent aller DDoS-Attacken. Angreifer nutzen dabei Sicherheitslücken aus, um ihren Datenverkehr zunächst auf andere Server umzuleiten und dann gezielt Internetprotokolle einzusetzen, die mit mehr Traffic antworten als sie empfangen. Als problematisch für die Betreiber der zur “Spiegelung” genutzten Websites könnte es sich erweisen, dass der Angriffs-Traffic somit von ihnen zu kommen scheint.

Akamai Logo (Bild: Akamai)

“Sicherheitslücken in Web-Applikationen, die bei SaaS-Service-Providern gehostet werden, bieten Kriminellen vielfältige Angriffsflächen. Aktuell nutzen sie anfällige Joomla Plug-ins, für die sie neue DDoS-Tools und DDoS-Mietlösungen entwickelt haben”, sagt Stuart Scholly, Senior Vice President und General Manager der Security Business Unit bei Akamai. “Dies ist nur eine von vielen weiteren, neu entdeckten Sicherheitslücken – und ein Ende ist nicht in Sicht.”

Von einer starken Zunahme von DDos-Angriffen hatte kürzlich auch Arbor Networks berichtet. Wie aus der zehnten Auflage des jährlichen Sicherheitsberichts des Herstellers hervorgeht, haben Zahl, Größe und Komplexität der DDoS-Attacken 2014 eine neue Qualität erreicht. Gegenüber 2013 hat sich die Zahl der Angriffe gegen Unternehmen fast verdoppelt. Der größte gemeldete Angriff hatte 2014 ein Datenvolumen von 400 GBit/s. 42 Prozent der für den Bericht Befragten berichten zudem von einer Kombinationen mehrerer Angriffstechniken.

Während 2013 nur etwas mehr als ein Viertel der Befragten mehr als 21 Angriffe pro Monat meldeten, hat sich diese Zahl 2014 mit 38 Prozent nahezu verdoppelt. Während des Untersuchungszeitraums hat sogar fast die Hälfte der Umfrageteilnehmer DDoS-Angriffe verzeichnet, von denen wiederum rund 40 Prozent mit einer totalen Überlastung der Internetverbindungen einhergegangen sind.

Dem ebenfalls kürzlich veröffentlichten Annual Security Report 2015 von Cisco setzen übrigens lediglich 37 Prozent der dafür befragten Sicherheitsverantwortlichen in Unternehmen Abwehrmaßnahmen gegen DDos-Angriffe ein. Angebote gibt es allerdings inzwischen genug. So bieten sogennnate DDos-Mitigation etwa Betreiber von Content-Delivery-Netzwerken wie Akamai, aber auch von Verisign undNTT Communications, Spezialisten wie die deutsche Firma Link11 oder Security-Generalisten wie Kaspersky an. Aber auch aus dem Netzwerkbereich stammende Anbieter wie Radware oder Huawei offerieren Anti-DDos-Appliances und ergänzende Services.

Eine aus der Sicht von Unternehmen weitaus elegantere Lösung wäre allerdings etwas, das sich an dem in den Niederlanden verfolgten Ansatz orientiert. Dort haben die Netzbetreiber in einer gemeinschaftlichen Einrichtung – der NBIP (Nationale Beheersorganisatie Internet Providers) – organisiert und kümmern sich um die Abwehr von DDoS-Angriffen. Für die Beteiligten hat das den Vorteil, dass die Kosten für jeden einzelnen moderat sind und er die finanziellen Aufwendungen für abgewehrte Attacken daher nicht an die Kunden weiterreichen muss – schließlich werden die Netze der einzelnen ISPs dadurch entlastet, dass nicht jeder eine eigene Infrastruktur zur DDoS-Abwehr aufbauen und unterhalten muss.

Im Rahmen der CeBIT will auch die Deutsche Telekom ein Angebot zur DDos-Abwehr vorstellen. Allerdings ist vorab wenig dazu bekannt: Der Konzern teilt lediglich mit, dieses sei “in dieser Form einmalig”, nennt aber bislang weder technische Details noch Preise zu nennen.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen