Un correctif pour BitTorrent élimine une vulnérabilité DDoS dans le protocole

BitTorrent a annoncé aujourd’hui que le correctif diffusé pour le protocole libuTP, utilisé par de nombreux clients, élimine une vulnérabilité qui permet à des individus malintentionnés d’organiser des attaques DDoS.

Le problème avait été démontré lors du dernier symposium USENIX dans le cadre d’un rapport qui présentait la manière dont des clients BitTorrent pouvaient participer contre leur gré à des attaques DDoS par amplification.

Christian Averill, Vice-président de BitTorrent chargé de la communication avec la communauté, a expliqué à Threatpost que le correctif avait été diffusé le 4 août, plus d’une semaine avant la présentation dans le cadre de USENIX.

Florian Adamsky, l’étudiant de la London University, avait signalé la vulnérabilité à BitTorrent le 1er juillet après l’avoir découverte. Plusieurs clients BitTorrent qui utilisaient le protocole UDP libuTP, dont uTorrent, BitTorrent et BitTorrent Sync, étaient vulnérables.

« De nombreux produits BitTorrent utilisent libuTP car il permet d’identifier toute surcharge du réseau et il impose lui-même une limite. Cette capacité d’auto-restriction rend BitTorrent, uTorrent et BitTorrent Sync particulièrement conviviaux pour les réseaux domestiques » expliquait BitTorrent dans son blog. « La vulnérabilité se situe dans la façon dont libuTP traite les connexions entrantes. Plusieurs clients pourraient participer à des attaques par amplification dans un rôle de réflecteur. »

Florian Adamsky a été aidé par Ali Khayam de PLUMgrid, Rudolf Jager de THM Friedberg et par Muttukrishnan Rajarajan, un autre étudiant de la London University. Les essais ont été réalisés en laboratoire, dans un environnement contrôlé, et BitTorrent a précisé qu’il ne s’agissait que de théorie car aucun cas n’avait été détecté à ce jour dans la pratique.

Les chercheurs ont mis en place un banc d’essai comptant plus de 10 000 connexions bidirectionnelles entre des noeuds uTP.

En admettant que les info-hash SHA-1 soient valides, les chercheurs ont déclaré que libuTP pouvait contribuer à la réalisation d’attaques par substitution d’adresses IP. En fait, les attaques menées via BitTorrent peuvent être multipliées par un facteur 50. Ceci concerne également les clients les plus fréquents qui fonctionnent sous ce protocole comme uTorrent, Mainline et Vuze où l’attaque avait été multipliée par un facteur 54.

« uTP établit la connexion à l’aide d’une poignée de main bidirectionnelle. Cela permet à l’individu malintentionné d’établir une connexion avec un amplificateur grâce à une fausse adresse IP car le destinataire ne vérifie pas si l’initiateur a reçu la confirmation » peut-on lire dans le document.

BitTorrent a signalé que les clients BitTorrent et BitTorrent Sync ont reçu le correctif le 4 août et qu’ils transmettent l’état de la connexion uniquement s’ils ont reçu une confirmation valide de la part de l’initiateur de la connexion.

Comme l’explique BitTorrent : « Cela signifie que tout paquet en dehors de la fenêtre autorisée sera rejeté par les réflecteurs et n’arrivera pas à la victime. Vu que les mesures de protection ont été mises en œuvre au niveau de libuTP, les autres protocoles de la société qui fonctionnent sur libuTP, comme Message Stream Encryption (MSE), ne sont plus exposés à la vulnérabilité.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *