DrDoS avec démultiplication via des serveurs Joomla

A la fin de l’année dernière, les experts d’Akamai Technologies spécialisés dans la protection dans le Cloud contre les attaques DDoS ont réussi à repousser une attaque GET flood inhabituelle : les individus malintentionnés ont utilisé une technique de réflexion et ont employé des sites Joomla en guise d’intermédiaires proxy. L’analyse du trafic malveillant en provenance de ces nœuds réalisée par PLXsert Akamai en coopération avec PhishLabs a permis d’identifier le responsable malgré lui de l’attaque automatisée contre les serveurs : il s’agissait d’un plug-in Joomla vulnérable dans Google Maps.š

Stuart Scholly, premier Vice-président d’Akamai et responsable des projets sur la sécurité des entreprises a déclaré : "Les vulnérabilités dans les applications Internet hébergées chez des fournisseurs SaaS continuent d’offrir les plus grandes possibilités aux criminels. Dans ce cas-ci, ils utilisent un plug-in Joomla vulnérable pour développer de nouveaux modes d’attaques DDoS et de nouveaux outils proposés à la location. Il s’agit d’une des innombrables vulnérabilités dans des applications Internet et nous ne somme pas prêt d’en voir la fin. Les entreprises doivent disposer d’un plan pour la réduction du trafic parasite en provenance de millions de serveurs SaaS dans le Cloud qui peuvent être utilisés lors d’attaques DDoS."

La vulnérabilité dans Google Maps pour Joomla dont il s’agit n’est pas neuve. Son exploitation force le plug-in à fonctionner en tant que proxy. Si l’individu malintentionné en profite également pour substituer la source des requêtes en indiquant l’adresse IP de la cible, les réponses en provenance du serveur qui utilise le plug-in seront envoyées là où il le souhaite. La source véritable de l’attaque reste dans l’ombre car le flux parasite principal, qui ressemble à des connexions utilisateur normales, sera généré par des serveurs Joomla. Ce trafic DDoS n’est pas très puissant, mais peut suffire à mettre l’application ciblée hors service.

L’enquête réalisée en coopération avec PhishLabs a démontré que les individus malintentionnés exploitent en masse des sites Joomla vulnérables afin d’organiser des attaques DDoS de type GET flood avec réflexion. Ces attaques sont commanditées et ont été ajoutées à l’arsenal d’au moins deux outils spécialisés : DAVOSET et UFONet. Les experts de PLXSert ont découvert sur Internet plus de 150 00 serveurs qui pourraient être utilisés en tant que réflecteur Joomla. Bon nombre d’entre eux ont été mis à jour avec le correctif, la configuration de certains a été modifiée tandis que d’autres ont été bloqués ou n’utilisent plus le plug-in Google Maps. Les serveurs restants sont toujours exposés au risque d’utilisation malveillante.

L’enquête a permis d’établir que ce type d’attaque DDoS au niveau applicatif est en circulation depuis le mois de septembre dernier et qu’il est souvent utilisé en combinaison avec d’autres vecteurs. C’est ainsi qu’au début du mois de février, PLXsert a enregistré dans la base de clients d’Akamai huit attaques DDoS avec démultiplication Joomla et une seule d’entre elles est une attaque de type GET flood "propre". La majorité des intermédiaires Joomla exploités dans cette attaque en particulier se trouvait en Allemagne (31,8% des IP). Un nombre un peu moins élevé se trouvait aux Etats-Unis (22,1 %), tandis que le reste était réparti entre la Pologne, les Pays-Bas et la France.

Grâce à la technique de la réflexion, les organisateurs d’attaque DDoS peuvent miser sur différentes vulnérabilités et différents protocoles, mais l’essence de l’attaque ne change pas. Les périphériques vulnérables, qui sont malheureusement très nombreux sur Internet, exécutent les volontés des individus malintentionnés, les aident à masquer les sources des attaques, à augmenter le trafic indésirable et à le diriger vers la cible. D’après les données de PLXsert, la technique de réflexion et de démultiplication du trafic est utilisée dans 39 % des attaques DDoS enregistrées contre les clients d’Akamai au 4e trimestre de l’année dernière.

http://www.stateoftheinternet.com/news-press-releases-2015-ddos-attack-news-akamai-threat-advisory-joomla-reflection-attack-ddos-for-hire.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *