Infos

Prolexic évoque l’augmentation des menaces DDoS par démultiplication SNMP

Les experts de Prolexic (qui appartient désormais à Akamai Technologies) mettent le public en garde contre l’augmentation de la fréquence des cas d’augmentation du trafic DDoS à l’aide de périphériques qui prennent en charge le protocole SNMP. Entre le 11 avril et le 14 mai, 14 incidents de ce genre ont été enregistrés. Ils ont touché des sociétés de profil divers : vendeurs d’articles de grande consommation, fournisseurs d’applications en tant que service (SaaS), hébergeurs, développeurs de jeux électroniques et organisations non commerciales.

La hausse de popularité et d’efficacité des attaques DDoS réfléchies (DrDOS) qui utilisent les protocoles réseaux SNMP, NTP et CHARGEN avait déjà été signalée par Prolexic il y a un an. Ces attaques se déroulent généralement par l’envoi d’une requête où l’adresse IP de l’expéditeur a été substituée et supposent l’existence d’intermédiaires (serveurs Web ou équipement connecté à Internet). Pour forcer ces intermédiaires à travailler pour eux, les individus malintentionnés utilisent des vulnérabilités dans les protocoles standard qui transforment les périphériques qui les prennent en charge en outil au service de l’attaque DDoS. Et la taille des réponses qu’ils envoient à la cible dans le cas du spoofing peut être des dizaines, voire des centaines de fois supérieures à la requête envoyée par les attaquants.

Le protocole SNMP intervient dans la communication avec ces périphériques répandus que sont les imprimantes, les commutateurs, les pare-feu et les routeurs. Mais, comme l’explique les experts, le problème vient du fait que bon nombre de ces périphériques sont des modèles anciens commercialisés il y a au moins trois ans avec la version 2 de SNMP. L’accès public est activé par défaut dans cette version. L’attaquant, qui recherche les périphériques vulnérables sur Internet ou qui utilise des listes précompilées, envoie la requête SNMP GetBulk qui requiert en retour le volume maximum possible d’informations. Par exemple, en cas de communication avec un routeur, ces informations contiendraient la liste des adresses IP stockées. L’imprimante quant à elle renverrait le type d’encre utilisé.

Dans les attaques SNMP déjouées par Prolexic, la taille des requêtes ne dépassait pas 40 octets et les réponses en volume des périphériques « levier » envoyées à la cible étaient scindées en dizaines de paquets. Le coefficient maximum de multiplication du trafic DDoS enregistré par les experts s’est élevé à 1 700.

Stewart Scholly, ex-président de Prolexic et actuellement 1er vice-présidente et directeur du service de sécurité des informations chez Akamai, explique : « Les attaques organisées à l’aide de protocoles qui admettent la réflexion, comme SNMP, augmentent de temps à autre. Cette nouvelle vague s’explique par l’accès libre à des outils qui permettent d’organiser des attaques SNMP ». Un de ces outils est examiné en détail dans le nouveau bulletin d’informations de Proxelic consacré aux attaques DDoS avec démultiplication SNMP (accès réservé aux utilisateurs enregistrés). Lors de tests en laboratoire, SNMP Refelector DDOS a affiché un coefficient de démultiplication de près de 1 400.

Au fur et à mesure que les périphériques impliqués dans des attaques SNMP sont découverts, ils sont ajoutés à des listes noires ou bloqués par le fournisseur (technique du blackholing). Ceci permet de réduire la puissance globale du trafic poubelle. Ainsi, lors de la période indiquée, Prolexic a enregistré plusieurs sauts dans une plage allant de 90 à 0,69 Gbits/s. Ceci étant dit, l’isolement des participants involontaires aux DDoS est en mesure de limiter l’attaque pendant un temps seulement : ce ne sont pas les périphériques SNMP vulnérables qui manquent sur Internet.

« Les administrateurs réseau doivent se consacrer à la recherche des périphériques qui utilisent SNMP version 2 et garantir leur sécurité. Des activistes de la communauté Internet ont tenté d’inclure dans des listes noires tous les participants aux attaques DDoS récentes, mais il faut également que les administrateurs réseau prennent les mesures adéquates. Nous les citons dans notre bulletin » explique Stewart Scholly.

Prolexic recommande les mesures de prévention suivantes :

  • limiter l’accès public aux périphériques qui utilisent SNMP v.2 ;
  • interdire l’accès externe à certains périphériques comme les imprimantes ;
  • limiter et contrôler l’accès aux périphériques SNMP qui possèdent un nombre élevé de subalternes ;
  • utiliser, dans la mesure du possible, SNMP version 3 qui est plus fiable.

Prolexic

Prolexic évoque l’augmentation des menaces DDoS par démultiplication SNMP

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception