Internetprovider Online, tot voor kort dochter van T-Mobile, heeft sinds begin 2011 Huawei-modems bij klanten uitgezet die per abuis fungeren als open DNS resolvers. Op die manier kan via de modems en de DNS servers van de provider een DDoS-aanval op gigantische schaal worden uitgevoerd op doelen elders op het internet.

De bug werd ontdekt door Huub Roem van securitybedrijf Unit 10, die het meldde bij Online en het euvel vorige week uitvoerig beschreef. Roem wilde in gesprek met Webwereld niet de naam van de provider of modem noemen, vanuit het oogpunt van responsible disclosure. Maar uit een test bij verschillende Webwereld-lezers blijkt dat het gaat om Online-klanten met een Huawei HG655d modem. Die zijn sinds begin 2011 uitgeleverd bij een adsl of vdsl abonnement.

DNS amplificatie: van kogel tot clusterbom

“De kwetsbaarheid heeft als bijzonderheid dat bij controle op poort 53(DNS) het lijkt alsof deze netjes gesloten staat voor verkeer buiten het eigen subnet en dus de rest van de wereld, maar dit is niet het geval. Het is een bug in het modem. Er is geen aanpassing in de configuratie van het modem mogelijk, maar middels een 'nslookup' commando op de opdrachtregel is het modem wel vanuit de hele wereld uit te bevragen”, schrijft Roem.

De modem fungeert als open DNS resolver, en wordt daarmee een soort 'zombie proxy'. Het kan queries van iedereen op het internet ontvangen, die worden doorgestuurd naar de DNS server van Online. Die genereert het antwoord - dat tot tientallen malen groter is dan de vraag - en stuurt dat terug naar de modem. Die stuurt het op zijn beurt terug, echter niet naar de echte afzender, maar naar de gespoofde. Zodoende wordt van een kogel een clusterbom gemaakt en bezwijken zelfs de grootste websites onder een vloedgolf van data.

Roem: “Op deze wijze hebben dus mogelijk honderdduizenden modems van thuisaansluitingen van deze provider ongewild meegeholpen aan de DDoS aanvallen op banken als ING, Rabobank en SNS bank, maar ook op DigiD, de Nederlandse Spoorwegen en KLM.” Ook de grootste DDoS-aanval ooit, dit voorjaar op Spamhaus, gebruikte DNS amplificatie.

Bekend probleem niet gecheckt

Het probleem van DNS amplificatie en spoofing is meer dan tien jaar bekend, evenals de oplossing: geen open resolvers draaien (en al helemaal niet op modems) en netwerken filteren op DNS queries met een gespoofde afzender (zogenaamde ingress filtering, of IETF BCP38).

“Het bekende probleem is in dit geval niet getoetst door de fabrikant van deze modems en is ook niet naar voren gekomen in de kwaliteitscontrole van de internet service provider, voor zover deze ook aanwezig is”, sneert Huub Roem van Unit 10.

De kwetsbaarheid is zelf te testen met een DNS check op Think Broadband. Als alles goed en veilig is verschijnt een groen venster met: “Success! We detected your IP address as xx.xxx.xx.xx and did not find an open DNS resolver running.” Online-klanten met de Huawei HG655d modem krijgen echter de volgende melding te zien:

T-Mobile heeft begin dit jaar de vaste tak Online ‘op afstand’ gezet. Begin juni is de isp formeel ondergebracht in een apart bedrijf, Euronet Communications BV. T-Mobile verwijst voor een reactie dan ook door naar Euronet.

Eerste fix voldeed niet

Die bevestigt het euvel, dat al langer bekend is. In januari had Huawei al een fix gereed, meldt de woordvoerster. “Echter deze firmware had als effect dat de klant al zijn instellingen zou verliezen. De tweede verbeterde fix is gereed en uitgebreid getest en zal voor het eind van deze maand uitgerold zijn.”

De upgrade zal automatisch gepushed en beschikbaar gesteld worden op de Online site. De isp ziet geen noodzaak voor het inruilen van de modems. “Het potentiële aantal actieve modems bedraagt minder dan 100.000 stuks”, laat de zegsvrouw weten. Het concern zegt geen aanwijzingen te hebben dat de bug ook daadwerkelijk is gebruikt voor DDoS-aanvallen.

Brokkenpiloot Huawei

Huawei heeft voor publicatie nog niet gereageerd op de kwestie. Het concern heeft geen al te best track record waar het aankomt op security. Vorig jaar onthulde een hacker ‘FX’ dat professionele bedrijfsrouters van Huawei zo lek als een mandje waren, van sessiekaping, heap-overflow tot en met stack-overflow. De bekende security-expert en DNS-goeroe Dan Kaminsky concludeerde hierover: “Wat FX heeft aangetoond is dat afgelopen 15 jaar aan secure-codingpraktijken - wat wel en niet te doen - niet zijn opgenomen door de ingenieurs bij Huawei."

In december schreef de Nederlandse regering naar aanleiding van onrust over backdoors in Chinese netwerkapparatuur: “Uit open en gesloten bronnen blijkt dat bepaalde Chinese- en andere netwerkapparatuur kwetsbaarheden kennen die het mogelijk maken om deze apparatuur op afstand over te nemen." En afgelopen maart bleek de Nederlandse updateserver van miljoenen Huawei dongels dusdanig antieke software te draaien dat die eenvoudig te kraken was.