Nouvelle méthode qui amplifie les DDoS par 4 milliards de fois.  Qu’est-ce qui pourrait mal se passer?

Nouvelle méthode qui amplifie les DDoS par 4 milliards de fois. Qu’est-ce qui pourrait mal se passer?

9 mars 2022 0 Par Le Caiman
Illustration stylisée d'une figure à capuchon sur un ordinateur portable.

Les cybercriminels qui utilisent des inondations géantes de données pour mettre hors ligne des sites exploitent une méthode inédite qui a le potentiel d’augmenter les effets néfastes de ces inondations de 4 milliards de fois sans précédent, ont averti les chercheurs mardi.

Comme de nombreux autres types d’attaques par déni de service distribuées, les attaques envoient une quantité modeste de données indésirables à un service tiers mal configuré d’une manière qui amène le service à rediriger une réponse beaucoup plus importante vers la cible visée. Les attaques dites d’amplification DDoS sont populaires car elles réduisent les exigences nécessaires pour submerger leurs cibles. Plutôt que d’avoir à rassembler d’énormes quantités de bande passante et de puissance de calcul, le DDoSer localise des serveurs sur Internet qui le feront pour eux.

Tout est question d’amplification

L’un des vecteurs d’amplification les plus anciens est les serveurs DNS mal configurés, qui augmentent les volumes DDoS d’environ 54 fois. Les nouvelles routes d’amplification incluent les serveurs Network Time Protocol (environ 556x), les serveurs multimédias Plex (environ 5x), Microsoft RDP (86x) et le protocole d’accès à l’annuaire léger sans connexion (au moins 50x). Pas plus tard que la semaine dernière, des chercheurs ont décrit un nouveau vecteur d’amplification qui atteint un facteur d’au moins 65.

Auparavant, le plus grand amplificateur connu était memcached, ce qui a le potentiel d’augmenter le trafic de 51 000 fois.

Le plus récent entrant est les systèmes de collaboration Mitel MiCollab et MiVoice Business Express. Les attaquants les utilisent depuis un mois pour des institutions financières DDoS, des sociétés de logistique, des sociétés de jeux et des organisations sur d’autres marchés. Une flotte de 2 600 serveurs expose une installation de test de système abusif dans le logiciel à Internet via le port UDP 10074, en rupture avec les recommandations du fabricant selon lesquelles les tests ne doivent être accessibles qu’en interne.

Les enregistrements DDoS actuels s’élèvent à environ 3,47 térabits par seconde pour les attaques volumétriques et à environ 809 millions de paquets par seconde pour les formes d’épuisement. Les DDoS volumétriques fonctionnent en consommant toute la bande passante disponible soit à l’intérieur du réseau ou du service ciblé, soit entre la cible et le reste d’Internet. Les DDoS d’épuisement, en revanche, surchargent un serveur.

Le nouveau vecteur d’amplification fourni par les serveurs Mitel mal configurés a le potentiel de briser ces records. Le vecteur peut le faire non seulement en raison du potentiel d’amplification sans précédent de 4 milliards de fois, mais aussi parce que les systèmes Mitel peuvent étendre les attaques pendant des durées qui n’étaient pas possibles auparavant.

« Ce vecteur d’attaque particulier diffère de la plupart des méthodologies d’attaque par réflexion / amplification UDP en ce que l’installation de test du système exposée peut être exploitée pour lancer une attaque DDoS soutenue d’une durée allant jusqu’à 14 heures au moyen d’un seul paquet d’initiation d’attaque usurpé, entraînant un rapport d’amplification des paquets record de 4 294 967 296: 1 », ont écrit des chercheurs de huit organisations dans un conseil conjoint. « Un test contrôlé de ce vecteur d’attaque DDoS a généré plus de 400 mpps de trafic d’attaque DDoS soutenu. »

Un seul nœud abusable générant autant d’amplification à un taux de 80 000 paquets par seconde peut théoriquement fournir le flot de données de 14 heures. Au cours de cette période, les paquets de « compteur » – qui suivent le nombre de réponses envoyées par les serveurs – généreraient environ 95,5 Go de trafic d’attaque amplifié destiné au réseau ciblé. Des paquets de « sortie de diagnostic » séparés pourraient représenter 2,5 To supplémentaires de trafic d’attaque dirigé vers la cible.

Un seul paquet suffit

Les services Mitel MiCollab et MiVoice Business Express agissent comme une passerelle pour transférer les communications téléphoniques PBX vers Internet et vice versa. Les produits incluent un pilote pour les cartes d’interface de traitement VoIP TP-240. Les clients peuvent utiliser une fonctionnalité de pilote pour tester la capacité de leurs réseaux Internet. Mitel demande aux clients de rendre les tests disponibles uniquement à l’intérieur des réseaux privés plutôt que sur Internet dans son ensemble, mais environ 2 600 serveurs ont bafoué cette directive.

Mitel a publié mardi mises à jour de logiciel qui garantira automatiquement que la fonction de test est disponible à l’intérieur d’un réseau interne.