Prolexic évoque l’augmentation des menaces DDoS par démultiplication SNMP

Les experts de Prolexic (qui appartient désormais à Akamai Technologies) mettent le public en garde contre l’augmentation de la fréquence des cas d’augmentation du trafic DDoS à l’aide de périphériques qui prennent en charge le protocole SNMP. Entre le 11 avril et le 14 mai, 14 incidents de ce genre ont été enregistrés. Ils ont touché des sociétés de profil divers : vendeurs d’articles de grande consommation, fournisseurs d’applications en tant que service (SaaS), hébergeurs, développeurs de jeux électroniques et organisations non commerciales.

La hausse de popularité et d’efficacité des attaques DDoS réfléchies (DrDOS) qui utilisent les protocoles réseaux SNMP, NTP et CHARGEN avait déjà été signalée par Prolexic il y a un an. Ces attaques se déroulent généralement par l’envoi d’une requête où l’adresse IP de l’expéditeur a été substituée et supposent l’existence d’intermédiaires (serveurs Web ou équipement connecté à Internet). Pour forcer ces intermédiaires à travailler pour eux, les individus malintentionnés utilisent des vulnérabilités dans les protocoles standard qui transforment les périphériques qui les prennent en charge en outil au service de l’attaque DDoS. Et la taille des réponses qu’ils envoient à la cible dans le cas du spoofing peut être des dizaines, voire des centaines de fois supérieures à la requête envoyée par les attaquants.

Le protocole SNMP intervient dans la communication avec ces périphériques répandus que sont les imprimantes, les commutateurs, les pare-feu et les routeurs. Mais, comme l’explique les experts, le problème vient du fait que bon nombre de ces périphériques sont des modèles anciens commercialisés il y a au moins trois ans avec la version 2 de SNMP. L’accès public est activé par défaut dans cette version. L’attaquant, qui recherche les périphériques vulnérables sur Internet ou qui utilise des listes précompilées, envoie la requête SNMP GetBulk qui requiert en retour le volume maximum possible d’informations. Par exemple, en cas de communication avec un routeur, ces informations contiendraient la liste des adresses IP stockées. L’imprimante quant à elle renverrait le type d’encre utilisé.

Dans les attaques SNMP déjouées par Prolexic, la taille des requêtes ne dépassait pas 40 octets et les réponses en volume des périphériques « levier » envoyées à la cible étaient scindées en dizaines de paquets. Le coefficient maximum de multiplication du trafic DDoS enregistré par les experts s’est élevé à 1 700.

Stewart Scholly, ex-président de Prolexic et actuellement 1er vice-présidente et directeur du service de sécurité des informations chez Akamai, explique : « Les attaques organisées à l’aide de protocoles qui admettent la réflexion, comme SNMP, augmentent de temps à autre. Cette nouvelle vague s’explique par l’accès libre à des outils qui permettent d’organiser des attaques SNMP ». Un de ces outils est examiné en détail dans le nouveau bulletin d’informations de Proxelic consacré aux attaques DDoS avec démultiplication SNMP (accès réservé aux utilisateurs enregistrés). Lors de tests en laboratoire, SNMP Refelector DDOS a affiché un coefficient de démultiplication de près de 1 400.

Au fur et à mesure que les périphériques impliqués dans des attaques SNMP sont découverts, ils sont ajoutés à des listes noires ou bloqués par le fournisseur (technique du blackholing). Ceci permet de réduire la puissance globale du trafic poubelle. Ainsi, lors de la période indiquée, Prolexic a enregistré plusieurs sauts dans une plage allant de 90 à 0,69 Gbits/s. Ceci étant dit, l’isolement des participants involontaires aux DDoS est en mesure de limiter l’attaque pendant un temps seulement : ce ne sont pas les périphériques SNMP vulnérables qui manquent sur Internet.

« Les administrateurs réseau doivent se consacrer à la recherche des périphériques qui utilisent SNMP version 2 et garantir leur sécurité. Des activistes de la communauté Internet ont tenté d’inclure dans des listes noires tous les participants aux attaques DDoS récentes, mais il faut également que les administrateurs réseau prennent les mesures adéquates. Nous les citons dans notre bulletin » explique Stewart Scholly.

Prolexic recommande les mesures de prévention suivantes :

  • limiter l’accès public aux périphériques qui utilisent SNMP v.2 ;
  • interdire l’accès externe à certains périphériques comme les imprimantes ;
  • limiter et contrôler l’accès aux périphériques SNMP qui possèdent un nombre élevé de subalternes ;
  • utiliser, dans la mesure du possible, SNMP version 3 qui est plus fiable.

Prolexic

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *