DDoS uzbrukumi BGP sesijām

CERT.LV sadarbībā ar FIRST (Forum of Incident Response Security Teams) aicina elektronisko sakaru komersantus, kritiskās infrastruktūras uzturētājus un pamatpakalpojumu sniedzējus pilnveidot BGP (Border Gateway Protocol) konfigurāciju, ievērojot labo praksi, lai stiprinātu BGP sesiju aizsardzību. Aicinājums attiecas arī uz citām Latvijas iestādēm un organizācijām, kas savā infrastruktūrā uztur BGP.

DDoS jeb piekļuves atteices uzbrukums pret BGP sesijām ir labi zināms, taču kibertelpā nav sastopams bieži. Pagājušā gada jūnijā FIRST fiksēja 2 šādus gadījumus, kad pret divām organizācijas BGP sesijām tika īstenots sekmīgs DDoS uzbrukums (TCP 179 ports), un abas sesijas tika pārtrauktas.

Minētie uzbrukumi BGP sesijām radīja bažas vairāku iemeslu dēļ:

• BGP sesiju uzbrukumi prasa iepriekšēju izpēti un iedziļināšanos, jeb labi izpildītu “mājasdarbu” no uzbrucēju puses, lai tos varētu sekmīgi īstenot. Kaut arī tie nav "izvēlies un noklikšķini" (point-&-click) DDoS uzbrukumi, tika sagaidīts, ka pašas organizācijas mācēs parūpēties par savu BGP sesiju aizsardzību, pareizi konfigurējot BGP, taču FIRST un CERT.LV novērojumi liecina par pretējo.
• Otrkārt, vienā no uzbrukumiem tika izmantota reflektīvā pieeja (reflective approach). Šāda risinājuma izmantošana 20 gadu laikā vēl nebija pieredzēta. Jau minētā reflektīvā pieeja – "atspoguļošana no iekšpuses uz āru" liecina par radošu risinājumu izmantošanu un nopietnu uzbrukuma plānošanu.
• Treškārt, IT drošības organizācija Shadowserver un Shodan serviss apkopojušas informāciju par +300 000 BGP 179 porta sesijām, kas pakļautas riskam un varētu kļūt par mērķi līdzīgiem uzbrukumiem. Latvijā konstatēts ap 150 šādu internetā eksponētu BGP servisu. Vienlaicīgi uzbrukumi šiem servisiem varētu radīt nopietnas sekas un globālu “haosu internetā”.

Ir pieejami 2 ziņojumi, kas ilustrē riska apmērus:

• Shodan's BGP Report - šis ziņojums apkopo "interneta riska" zonas. Organizācijas, kas abonē Shodan servisu, var iegūt sīkāku informāciju par saviem ASN (Autonomous System Numbers). CERT.LV no savas puses ir izsūtījusi brīdinājumus visām iestādēm un organizācijām, kurām TCP 179 ports ir eksponēts internetā un kas atrodamas Shodan un Shadowserver sarakstos.
• Shadowserver neaizsargāto BGP sesiju informatīvais panelis. Shadowserver paziņojumos tagad iekļauj arī divus jaunus bezmaksas BGP sesiju ziņojumus - par pieejamu BGP servisu un atvērtu BGP servisu.

Informācija par risinājumiem un “soli-pa-solim” instrukcija risku mazināšanai pieejama šeit: https://www.senki.org/protect-your-bgp-sessions-from-ddos-attacks/

Jautājumu vai neskaidrību gadījumā aicinām rakstīt uz cert.