Le grand tyran de la sécurité Internet :le déni de service distribué (DDoS) qui perturbe le trafic normal d'un serveur ou d'un réseau ciblé avec un flot de requêtes HTTP, paquets mal formés. Crash, boum boum. Missions accomplies. Les utilisateurs ne peuvent pas revenir.

Jonathan Respeto d'Akamai a publié mercredi sur un blog des conclusions affreuses. Une équipe d'Akamai avait testé un nouveau vecteur DDoS qui exploite une technique d'amplification UDP connue sous le nom de WS-Discovery (WSD). La situation est maintenant telle que « plusieurs acteurs de la menace » exploitent cette méthode DDoS pour intensifier les attaques.

Pour ceux qui sont moins familiers avec le jargon de découverte, UDP signifie User Datagram Protocol. TechTarget indique aux lecteurs qu'il s'agit d'un protocole de communication alternatif au protocole de contrôle de transmission utilisé pour établir des connexions à faible latence et à tolérance de perte entre les applications sur Internet.

Mercredi, Respeto a écrit sur son blog que "Puisque UDP est un protocole sans état, les requêtes au service WSD peuvent être falsifiées."

WSD signifie Web Services Dynamic Discovery. Catalin Cimpanu dans ZDNet a décrit WSD comme "un protocole de multidiffusion qui peut être utilisé sur des réseaux locaux pour" découvrir "d'autres appareils à proximité qui communiquent via un protocole ou une interface particulière".

D'ACCORD, alors voici le rôle laid que WSD joue dans ce cas, comme Respeto d'Akamai l'a découvert.

Il a fourni un historique de la façon dont cela s'est produit et des problèmes actuels :

WSD a été fourni en tant qu'ensemble de fonctionnalités et service par défaut à partir de Windows Vista. Il est inclus dans les imprimantes HP depuis 2008. En ce qui concerne les appareils que l'équipe Acamai a découvert sur Internet comme exposant et répondant de manière incorrecte au WSD, "la plupart se composent de caméras de vidéosurveillance et de systèmes DVR [enregistreur vidéo numérique], une tendance qui n'est pas surprenante à ce stade."

Anthony Spadafora dans TechRadar a déclaré que la technique des attaquants pour abuser du protocole WSD était "utilisée par un large éventail de périphériques réseau pour se connecter automatiquement les uns aux autres. Le protocole WSD permet aux périphériques d'envoyer des paquets de protocole de datagramme utilisateur (UDP) sur le port 3702 pour décrire les capacités et exigences d'un appareil."

Qu'est-ce qui a d'abord mis Akamai sur la piste de la démolition ? Respeto a déclaré que « l'un de nos clients a essuyé des tirs. L'attaque, qui ciblait l'industrie du jeu, pesé à 35/Gbps à la bande passante maximale.

Respeto a déclaré "le SIRT a pu atteindre des taux d'amplification allant jusqu'à 15, 300 % de la taille d'octet d'origine. Cela place WSD à la 4e place du classement des attaques DDoS pour le facteur d'amplification réfléchi le plus élevé."

De la société prestataire DDoS-GUARD :

"Certaines commandes des protocoles UDP suscitent des réponses beaucoup plus importantes que la requête initiale. Auparavant, les attaquants étaient limités par le nombre linéaire de paquets directement envoyés à la cible pour mener une attaque DoS ; désormais, un seul paquet peut générer entre 10 et 100 fois la bande passante d'origine. C'est ce qu'on appelle une amplification de l'attaque."

Ce qu'on appelle le facteur d'amplification de la bande passante peut mesurer l'effet potentiel d'une attaque d'amplification, et est "calculé comme le nombre d'octets de charge utile UDP qu'un amplificateur envoie pour répondre à une requête, par rapport au nombre d'octets de charge utile UDP de la requête."

Il y a peu d'excuses pour dire "et alors" ici. Spadafora a déclaré que l'amplification "fait de WSD l'une des techniques les plus puissantes de l'arsenal d'un pirate informatique pour amplifier les attaques DDoS qui peuvent paralyser les entreprises et les consommateurs".

Une cause d'inquiétude cette fois-ci reposait sur le pool même d'appareils disponibles.

Spadafora :"... la nouvelle technique employée par les pirates informatiques est toujours préoccupante en raison du nombre d'appareils disponibles qu'Akamai estime à plus de 802 000." Lily Hay Newman dans Filaire :"Akamai estime que jusqu'à 800, 000 appareils exposés sur Internet peuvent recevoir des commandes WS-Discovery. Ce qui signifie qu'en envoyant des « sondes, une sorte de demande d'appel, vous pouvez générer et diriger un firehose de données vers des cibles."

Qu'y a-t-il pour les pirates ? Qu'est-ce qu'ils en retirent ? Robert Hackett jeudi à Fortune a essayé les réponses. Il a déclaré que mettre des cibles hors ligne dans des attaques de "déni de service distribué" était "parfois juste pour des coups de pied et des rires, d'autres fois jusqu'à ce qu'une victime paie une rançon."

Atténuation?

Respeto a déclaré que "Le simple fait de placer des blocs sur le port source UDP 3702 empêchera le trafic d'atteindre vos serveurs. Mais ce n'est que la moitié du problème, car le trafic congestionne toujours la bande passante de votre routeur. C'est là que votre fournisseur d'atténuation DDoS entrerait en jeu et ajouterait l'ACL nécessaire pour bloquer le trafic d'attaque."

ACL signifie Listes de contrôle d'accès. Les ACL sont les filtres de paquets d'un réseau, mentionné Systèmes iTT . "Ils peuvent restreindre, permis, ou refuser le trafic qui est essentiel pour la sécurité. Une ACL permet de contrôler le flux de paquets pour une seule ou un groupe d'adresses IP ou différentes pour les protocoles, comme TCP, UDP, ICMP, etc."

Quelques conclusions de Respeto :

(1) "WSD est un risque majeur sur Internet qui peut pousser une bande passante importante à l'aide de la vidéosurveillance et des DVR.". Les fabricants peuvent limiter la portée du protocole UDP sur le port 3702 à l'espace IP multicast.

(2) « Les organisations doivent être prêtes à acheminer le trafic vers leur fournisseur d'atténuation DDoS si elles sont touchées par cette attaque de grande envergure. En raison de ses facteurs d'amplification importants, nous nous attendons à ce que les attaquants perdent peu de temps à utiliser WSD comme vecteur de réflexion."

Et après?

Hackett considérait les "groupes soucieux de la sécurité" comme susceptibles de chercher à persuader les personnes en possession d'appareils vulnérables, qu'il s'agisse d'entreprises ou de consommateurs, de les mettre à jour. Pour les passionnés de technique, il ajouta, "cela signifie bloquer les communications vers le port 3702." Ils peuvent également recommander d'appliquer des pare-feu ou de supprimer des appareils de l'Internet public. "Finalement, si le problème devient incontrôlable, Les fournisseurs de services Internet pourraient être attirés, bloquer le trafic suspect."

© 2019 Réseau Science X