Infos

Exploitation du protocole RIPv1 dans des attaques DDoS

Un protocole de routage, abandonné depuis longtemps, et portant le nom adéquat RIPv1 (RIP, rest in peace, repose en paix) n’a pas encore dit son dernier mot. Depuis le milieu du mois de mai, les experts d’Akamai PLXsert observent des attaques DDoS organisées selon le principe de la réflexion et de l’amplification du trafic à l’aide de routeurs de particuliers ou d’entreprises qui utilisent toujours cette version du protocole.

Le protocole RIP (Routing Information Protocol) est généralement mis en œuvre dans les petits réseaux pour l’échange dynamique des informations entre les routeurs. La version 1 de ce protocole a vu le jour en 1988 et a été déclarée obsolète en 1996.

Mercredi dernier, l’équipe PLXsert a publié un bulletin d’informations consacré à une attaque DDoS récente avec effet de levier RIPv1 dont la puissance maximal a atteint 12,9 Gbits/s. Cette attaque fut enregistrée le 16 mai ; le balayage réalisé au cours de celle-ci a détecté près de 53 700 périphériques réseau qui réagissaient aux requêtes RIPv1, mais l’identification a dévoilé seulement 500 sources uniques de trafic indésirable. Aucun de ces intermédiaires n’utilisait l’authentification, ce qui a simplifié la tâche des organisateurs de l’attaque.

Comme l’expliquent les chercheurs, « la majorité de ces sources envoyait, principalement, des paquets de 504 bits et cela explique parfaitement la raison de leur utilisation dans cette attaque. Au fur et à mesure que les individus malintentionnés identifient de nouvelles sources, ils ont peut être considéré ce vecteur comme une perspective intéressante en vue d’augmenter la puissance des attaques que nous observons cette année. »

PLXsert explique également que les périphériques RIPv1 qui ne sont pas encore exploités pourraient être utilisés à l’avenir dans des attaques plus puissantes et plus distribuées. « A l’heure actuelle, la majorité de 53 693 sources potentielles répond par une route unique. Cela signifie qu’il s’agit de bons candidats pour des DDoS par réflexion sans amplification complémentaire » écrivent les experts.

Les intermédiaires les plus actifs lors de l’attaque DDoS de mai ont été les routeurs Netopia 2000 et 3000. Lors du balayage, les chercheurs ont détecté près de 19 000 périphériques de cette catégorie ainsi que plus de 5 000 modems ZXV10 de la société ZTE ainsi que des routeurs TD-8000 du fabricant chinois TP-LINK. D’après PLXsert, les propriétaires de la majorité des routeurs Netopia qui utilisent RIPv1 sont des clients américains d’AT&T. Aux Etats-Unis, ils sont proposés également par les opérateurs BellSouth et MegaPath, mais à des niveaux inférieurs. Ceci étant dit, la majorité des sources du trafic DDoS réfléchi était enregistrée en Russie, en Chine, en Allemagne, en Italie ou en Espagne.

PLXsert invite les utilisateurs de périphériques vulnérables à passer au protocole RIPv2 ou suivant et à activer l’authentification. Il faut également au moins décider s’il faut conserver l’accès RIP ouvert sur l’interface WAN. Les experts recommandent également de limiter l’accès RIP à l’aide d’une liste de contrôle d’accès et de maintenir les autorisations uniquement pour les routeurs connus.

« La liste des vecteurs de réflexion accessible est loin d’être petite et la pratique nous démontre qu’il est difficile de maintenir le contrôle sur certains vecteurs en raison de leur diffusion (par exemple DNS et SSDP) » concluent les experts. « Dans ce contexte, nous estimons que le maintien de RIPv1 n’a pas de sens car il constitue une source supplémentaire de trafic DDoS. Tout semble indiquer que la majorité de ces sources utilise un matériel dépassé qui a été installé il y a plusieurs années de cela dans les réseaux de particuliers et d’entreprises. »

Source: Threatpost

Exploitation du protocole RIPv1 dans des attaques DDoS

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception