Posté le août 29, 2019 à 21:04

LE PROTOCOLE WS-DISCOVERY POURRAIT ÊTRE UNE ARME POUR LES ATTAQUANTS UTILISANT LA MÉTHODE DDOS; METTANT AINSI 630 000 APPAREILS EN DANGER

Les chercheurs et les spécialistes de l’industrie ont déclenché une autre alarme de sécurité du fait que le nouveau protocole Web Services Dynamic Discovery (appelé WS-Discovery, WA-DD ou simplement WSD) est actuellement utilisé et abusé par les cybercriminels pour exécuter des attaques par déni de service distribué (DDoS) dévastatrices.

Selon ZDNet, ils sont au courant de l’existence du protocole depuis le mois de mai, la date de sa première publication. Il était déjà utilisé pour lancer des attaques DDoS à ce moment-là, mais la plate-forme n’a rien publié pour éviter de promouvoir une menace encore sous étroite surveillance.

Le Web Services Dynamic Discovery

Mais la situation a changé. En août, plusieurs entités malveillantes ont abusé du protocole. Les attaques DDoS basées sur le Web Services Dynamic Discovery sont de plus en plus courantes et dangereuses.

WS-Discovery est défini en tant que protocole de multidiffusion. Il peut être utilisé dans les réseaux locaux avec l’intention de repérer des appareils situés à proximité qui peuvent établir une communication via une interface ou un protocole spécifique.

Pour être plus précis, le protocole WS-Discovery est utilisé comme ressource pour prendre en charge la découverte entre périphériques via le format de messagerie SOAP, qui utilise des paquets UDP. C’est pourquoi on le qualifie de SOAP-over-UDP.

Le WSD n’est pas un protocole particulièrement commun mais il a récemment été adopté par l’ONVIF, une célèbre association. L’ONVIF est un groupe qui promeut des interfaces industrialisées pour rendre les biens et produits en réseau interopérables.

Parmi les membres les plus célèbres de l’ONVIF figurent Bosch, Axis et Sony, entre autres. Ces marques utilisent les standards de l’ONVIF comme base de leurs produits sur le marché. L’association a recommandé le protocole WS-Discovery en tant qu’élément important de son interopérabilité plug-and-play depuis le milieu de la décennie en cours.

Le protocole utilisé par beaucoup appareils

Alors que de plus en plus de sociétés tentent de normaliser leurs produits et leurs opérations, le protocole WS-Discovery a trouvé sa place dans de nombreux produits, notamment les caméras IP, les appareils ménagers, les imprimantes, les enregistreurs numériques et autres.

Cependant, environ 630 000 appareils basés sur ONVIF utilisent le protocole en ce moment, selon les données du moteur de recherche en ligne BinaryEdge, ce qui signifie qu’ils sont tous vulnérables aux attaques DDoS.

Une attaque DDoS, pour information, est un événement dans lequel le réseau ou le périphérique est inutilisable car il a été inondé de nombreuses requêtes de trafic provenant de plusieurs adresses IP. Les serveurs impliqués tombent en panne à cause des requêtes excessives et le réseau ou l’appareil ne peut plus effectuer des opérations, même les plus élémentaires.

Pourquoi est-il sujet aux attaques DDoS?

Le protocole WS-Discovery est favorable aux attaques DDoS pour plusieurs raisons.  L’une d’elles est parce qu’elle repose sur le protocole UDP, ce qui signifie généralement que la destination du paquet est susceptible d’être falsifiée. Une personne ou une entité peut simplement envoyer un paquet UDP au service WS-Discovery d’un appareil avec une fausse adresse IP de retour, et au moment où l’appareil envoie sa réponse, il le fera au fausse IP mentionnée. Cette situation offre aux attaquants une opportunité d’envoyer du trafic sur des périphériques WSD et de le diriger vers la cible de leur choix.

Une autre raison est que la réponse du WSD est beaucoup plus grande que l’entrée originale, permettant aux cybercriminels ou aux entités attaquantes d’envoyer un paquet initial à un appareil WS-Discovery, qui, à son tour, fera rebondir la réponse qui fait plusieurs fois la taille d’attaque initiale vers la cible de l’attaque DDoS. Il est surnommé le facteur d’amplification DDoS et est extrêmement dangereux car il permet aux attaquants de multiplier l’ampleur de leurs infractions.

Le protocole et les attaques DDoS ont été associés avec des facteurs d’amplification de 300 ou 500, un nombre phénoménal étant donné que les autres protocoles UDP atteignent souvent un maximum de 10. Cependant, les attaques DDoS avec une telle puissance sont rares.

Mais la menace est toujours présente, étant donné qu’un script de preuve de concept pour lancer des attaques DDoS qui a fait son chemin vers GitHub l’année dernière prétend pouvoir atteindre 70-150 facteurs d’amplification. C’est plus que suffisant pour transformer le protocole en une arme.