Posté le septembre 20, 2019 à 19:52

AKAMAI DÉVOILE LE QUATRIÈME PLUS GRAND EXPLOIT DDOS UTILISANT LA VULNÉRABILITÉ WSD

Ce mercredi, des chercheurs de la société Akamai ont dévoilé ce qu’ils pensent être la quatrième attaque DDoS (Distributed Denial of Service) la plus importante qu’elle ait jamais découverte, via la redoutée exploitation WSD (WS Discovery) via le protocole UDP.

WSD est une technologie de connectivité que l’on trouve sur plusieurs types d’appareils grand public. Il s’avère que, d’après les informations fournies par Jonathan Respeto, ingénieur de l’équipe d’intervention du renseignement de sécurité d’Akamai, l’attaque visait un client d’Akamai dans le monde du jeu vidéo.

Les enquêteurs et les spécialistes en la matière ont expliqué que toute infraction ciblant les réseaux tout en tirant parti de la vulnérabilité WDS pourrait être dévastatrice, dans la mesure où elle pourrait atteindre des taux d’amplification supérieurs à 15 000% de la taille de ses octets initiale.

La découverte de WS

Les enquêtes de WS Discovery sont souvent réalisées par des machines présentes sur un réseau local comme ressource pour découvrir et configurer des services et dispositifs spécifiques. Par exemple, si vous vous êtes déjà demandé comment un ordinateur Windows détecte et configure une imprimante connectée à un réseau, cela se fait via le WSD.

Cependant, le WSD est susceptible d’être utilisé par des attaquants à des fins malveillantes, car il déclenche une réponse d’erreur XML de WSD.  Cela peut être réalisé si les cybercriminels ou le mauvais acteur envoient une charge utile mal formée de 29 octets, conformément au rapport Akamai.

La publication souligne que parfois, tout ce qui est nécessaire est une charge utile de 18 octets, qui a une sonde qui est 43% plus petite que la sonde régulière et 900% plus petite que la sonde minimale qui est considérée comme valide. Certes, cela déclencherait une réponse plus petite, mais le rapport d’amplification est tout aussi dangereux.

Akamai explique que l’utilisation d’une approche de débordement de rembourrage permettrait de rembourrer la réponse d’erreur à 2 762 octets, soit une quantité suffisante pour multiplier le facteur d’amplification et atteindre 15 300 %. Respeto a dit que plusieurs hackers ont commencé à utiliser le WSD pour alimenter leurs attaques DDoS.

Une menace omniprésente

Pourtant, le véritable facteur qui rend le WSD si dangereux et si difficile à arrêter est que la technologie qui le sous-tend est omniprésente et peut être trouvée dans de nombreux appareils connectés à Internet, systèmes d’exploitation, imprimantes HP et autres appareils. Récemment, il a été rapporté que plus de 600 000 appareils utilisent cette technologie, ce qui signifie que de nombreuses machines pourraient être menacées par une attaque DDoS potentielle.

Il est également préoccupant de constater qu’il est très facile d’exploiter le WSD en raison d’une mauvaise mise en œuvre avant que le WSD ne soit destiné à l’origine au web. En fait, il est né avant l’ère numérique centrée sur Internet.

Les entreprises ont commencé à fabriquer du matériel avec le service mal implémenté, mais ce sur quoi tout le monde comptait, c’était le fait que les utilisateurs, après avoir acquis les appareils et les dispositifs, allaient les déployer sur le Web. Sans le savoir, ils ont introduit une nouvelle menace sous la forme d’un vecteur de réflexion DDoS, selon Respeto.

Respeto n’a cessé d’avertir les internautes, affirmant que les attaques par WSD peuvent être dévastatrices et que les hackers n’ont pas besoin de beaucoup de ressources pour perpétrer une offensive contre une entité.

Un protocole sans statut

La bande passante d’une victime ciblée peut être exploitée de manière abusive par une attaque centrée sur le WSD parce que les requêtes adressées au service WSD peuvent être usurpées, étant donné qu’UDP est un protocole sans statut. S’il est usurpé, le serveur concerné enverra des réponses qui paralyseront l’ensemble du système.

Selon les déclarations d’Akamai à Threatpost, cette approche est largement utilisée et a affecté les utilisateurs de certains sites très médiatisés dans le passé, tels que GitHub, Spotify, Twitter et autres.

Bien que la vulnérabilité liée à WSD existe depuis assez longtemps, les hackers et les cybercriminels du monde entier sont maintenant conscients du fait qu’ils peuvent exploiter la technologie pour mener des attaques DDoS à grande échelle.

Le plus inquiétant, c’est que les entreprises ne peuvent pas faire grand-chose pour éviter la situation. Selon Respeto, elles ne peuvent qu’attendre patiemment que des appareils vulnérables ayant une durée de vie de 10 à 15 ans disparaissent lentement et espérer que le prochain lot qui les remplace soit plus sûr.