Während des ersten großen Angriffs mit der neuen Technologie wurde eine Spitzenleistung von fast 1,4 Terabits pro Sekunde auf der beliebten Source Code Hosting-Plattform namens Google veröffentlicht. Einige Tage später soll ein bisher ungenanntes US-Unternehmen von mehreren Sicherheitsunternehmen auf 1,7 Terabits pro Minute geschossen worden sein. Jetzt wird klar, dass die Attacken wahrscheinlich auf verhältnismäßig komfortable Skriptbausteine zurückzuführen sind, die eine Ziel-Website mit einer Liste verwundbarer Memcached-Server beschießen.
Eine weitere Anwendung nutzt die Suche über die Shodan, um das Netzwerk nach anfälligen Rechnern zu durchsuchen und diese bei Angriffen zu integrieren. Durch das Erscheinungsbild dieser benutzerfreundlichen Werkzeuge kann jeder Laien mit einer Internetverbindung nun starke Attacken starten. Memcached-Administratoren sollten dafür sorgen, dass ihre Installation nicht für solche Attacken verwendet werden kann.
In absehbarer Zeit dürfte die Eindämmung der anfälligen Memcached-Server das einzig effektive Mittel gegen solche Attacken sein.
Mirai Tool unterwirft Sierra Wireless Gateway für das Internet.
Das DDoS-Tool Mirai zielt nun auf einige der Mobilfunkgateways des Anbieters, warnt Sierra Wireless und die US-Sicherheitsbehörde ICS-CERT. Mirai nutzt eine weitere Sicherheitslücke, und zwar, dass alle Gateway mit dem selben Standardpasswort geliefert werden, das anscheinend von vielen Administratoren nicht geändert wird, wie von ICS-CERT gemeldet. Davon sind z. B. die Typen LS300, GX400, GX/ES440, GX/ES450 und Royal AirLink Gateway, die den Zugang zu lokalen Netzwerken über Funk ermöglichen, tangiert.
Falls die Gateway im Internetzugriff ohne VPN oder ähnlichem Zugriffsschutz sind, werden sie von Mirai gefunden und im RAM des Gerätes abgelegt. Mirai ist nicht nur bereit für DDoS-Angriffe, sondern erhält auch Zugang zum Netzwerk dahinter und kann es nach anderen gefährdeten Endgeräten durchsuchen. Infizierte Gateway können laut ICS-CERT durch ungewöhnliche Aktivitäten auf Port 23/TCP identifiziert werden, mit denen nach anderen gefährdeten Endgeräten gesucht wird, und durch Aktivitäten auf Port 48101/TCP, über den der Botnet-Controller kontaktiert wird.
Das Heilmittel ist unbedeutend, Administratoren müssen das System erneut einschalten und ein anderes Kennwort zuweisen. Nähere Informationen dazu erhalten Sie bei ICS-CERT. Das ist nicht so trivial: Sie müssen auch das dahinter befindliche LAN auf befallene Laufwerke überprüfen und reinigen.