Exploitation du protocole RIPv1 dans des attaques DDoS

Un protocole de routage, abandonné depuis longtemps, et portant le nom adéquat RIPv1 (RIP, rest in peace, repose en paix) n’a pas encore dit son dernier mot. Depuis le milieu du mois de mai, les experts d’Akamai PLXsert observent des attaques DDoS organisées selon le principe de la réflexion et de l’amplification du trafic à l’aide de routeurs de particuliers ou d’entreprises qui utilisent toujours cette version du protocole.

Le protocole RIP (Routing Information Protocol) est généralement mis en œuvre dans les petits réseaux pour l’échange dynamique des informations entre les routeurs. La version 1 de ce protocole a vu le jour en 1988 et a été déclarée obsolète en 1996.

Mercredi dernier, l’équipe PLXsert a publié un bulletin d’informations consacré à une attaque DDoS récente avec effet de levier RIPv1 dont la puissance maximal a atteint 12,9 Gbits/s. Cette attaque fut enregistrée le 16 mai ; le balayage réalisé au cours de celle-ci a détecté près de 53 700 périphériques réseau qui réagissaient aux requêtes RIPv1, mais l’identification a dévoilé seulement 500 sources uniques de trafic indésirable. Aucun de ces intermédiaires n’utilisait l’authentification, ce qui a simplifié la tâche des organisateurs de l’attaque.

Comme l’expliquent les chercheurs, « la majorité de ces sources envoyait, principalement, des paquets de 504 bits et cela explique parfaitement la raison de leur utilisation dans cette attaque. Au fur et à mesure que les individus malintentionnés identifient de nouvelles sources, ils ont peut être considéré ce vecteur comme une perspective intéressante en vue d’augmenter la puissance des attaques que nous observons cette année. »

PLXsert explique également que les périphériques RIPv1 qui ne sont pas encore exploités pourraient être utilisés à l’avenir dans des attaques plus puissantes et plus distribuées. « A l’heure actuelle, la majorité de 53 693 sources potentielles répond par une route unique. Cela signifie qu’il s’agit de bons candidats pour des DDoS par réflexion sans amplification complémentaire » écrivent les experts.

Les intermédiaires les plus actifs lors de l’attaque DDoS de mai ont été les routeurs Netopia 2000 et 3000. Lors du balayage, les chercheurs ont détecté près de 19 000 périphériques de cette catégorie ainsi que plus de 5 000 modems ZXV10 de la société ZTE ainsi que des routeurs TD-8000 du fabricant chinois TP-LINK. D’après PLXsert, les propriétaires de la majorité des routeurs Netopia qui utilisent RIPv1 sont des clients américains d’AT&T. Aux Etats-Unis, ils sont proposés également par les opérateurs BellSouth et MegaPath, mais à des niveaux inférieurs. Ceci étant dit, la majorité des sources du trafic DDoS réfléchi était enregistrée en Russie, en Chine, en Allemagne, en Italie ou en Espagne.

PLXsert invite les utilisateurs de périphériques vulnérables à passer au protocole RIPv2 ou suivant et à activer l’authentification. Il faut également au moins décider s’il faut conserver l’accès RIP ouvert sur l’interface WAN. Les experts recommandent également de limiter l’accès RIP à l’aide d’une liste de contrôle d’accès et de maintenir les autorisations uniquement pour les routeurs connus.

« La liste des vecteurs de réflexion accessible est loin d’être petite et la pratique nous démontre qu’il est difficile de maintenir le contrôle sur certains vecteurs en raison de leur diffusion (par exemple DNS et SSDP) » concluent les experts. « Dans ce contexte, nous estimons que le maintien de RIPv1 n’a pas de sens car il constitue une source supplémentaire de trafic DDoS. Tout semble indiquer que la majorité de ces sources utilise un matériel dépassé qui a été installé il y a plusieurs années de cela dans les réseaux de particuliers et d’entreprises. »

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *