Posté le février 24, 2021 à 15:47
LES HACKERS ABUSENT DES PRODUITS VPN POWERHOUSE POUR DES ATTAQUES DDOS
Les serveurs du fournisseur de VPN Powerhouse ont été compromis par les opérateurs de botnet pour lancer un déni de service distribué (DDoS), révèlent les rapports.
Un chercheur en sécurité anonyme a partagé les détails de l’attaque avec ZDNet la semaine dernière. Powerhouse n’a pas répondu aux e-mails envoyés à l’entreprise pour obtenir des commentaires supplémentaires sur l’attaque DDoS.
Le rapport affirme que les hackers ont déjà armé les serveurs VPN compromis et ont été utilisés dans des attaques réelles.
Environ 1 500 serveurs VPN de Powerhouse ont été compromis à la suite de l’attaque DDoS.
Le chercheur a également déclaré que la cause principale du nouveau vecteur d’attaque DDoS n’est pas claire. Mais il a été confirmé que le vecteur fonctionne sur le port UDP 2081 sur les serveurs de la société.
Le chercheur a également révélé que les attaquants ont utilisé une requête d’un octet pour pinger le port. Cependant, le service répond généralement avec des paquets dont la taille est plus de 35 fois supérieure à celle du paquet original.
Les paquets peuvent être modifiés
Le chercheur a révélé que les paquets basés sur UDP peuvent être révisés pour contenir la mauvaise adresse IP de retour. En conséquence, l’acteur malveillant peut facilement envoyer les paquets UDP d’un octet au serveur VPN de Powerhouse. Il augmente alors la puissance et l’impact avant d’envoyer à l’adresse IP de la victime.
Les administrateurs doivent bloquer le trafic provenant du port 20811
Le chercheur anonyme a également fait part de ses conclusions sur GitHub. Le chercheur a également souligné que Powerhouse possède des milliers de serveurs dans le monde entier. Mais les serveurs les plus menacés sont ceux basés à Hong Kong, Vienne et au Royaume-Uni.
Comme Powerhouse n’a pas encore répondu à l’attaque, le chercheur a conseillé aux administrateurs de bloquer tout trafic provenant du port 20811 afin de réduire le risque de voir leurs serveurs touchés par une attaque DDoS.
ZDNet a également contacté la direction de Powerhouse pour s’assurer qu’un patch soit fourni afin de protéger les serveurs contre les futures attaques DDoS.
Une autre solution a été recommandée par le chercheur. Cette solution ne bloque pas le véritable trafic provenant de tous les utilisateurs de Powerhouse. Elle ne bloque que les paquets « réfléchis » qui font généralement partie de l’attaque DDoS.
La découverte du chercheur est un autre ajout à une longue liste de vecteurs d’amplification DDoS que les chercheurs en sécurité ont révélé au cours des trois derniers mois.
Parmi les autres incidents, on peut citer les attaques contre Plex Media Server, les serveurs Windows RPD, ainsi que les passerelles Citrix ADC.
Les acteurs malveillants profitent des appareils connectés à Internet
Les attaques de Plex Media et de Windows RDP ont eu lieu le mois dernier. Pour l’attaque de Plex media, les acteurs malveillants ont trouvé des moyens d’amplifier les attaques DDoS.
L’entreprise a alerté les propriétaires des appareils qui fonctionnent par l’intermédiaire des serveurs de Plex au sujet de l’attaque. Plex Media est une application web pour les systèmes Linux, Mac et Windows. Elle est utilisée pour le streaming audio et vidéo ainsi que pour la gestion des ressources multimédia.
Les acteurs malveillants peuvent également atteindre leurs cibles facilement, car ils n’ont besoin que de scanner les appareils connectés à Internet et d’en faire un usage abusif pour amplifier le trafic web.
Environ deux semaines après l’attaque de Plex media, les hackers ont également infiltré les systèmes RDP (Remote Desktop Protocol) de Windows pour amplifier le trafic indésirable.
Cependant, certains serveurs RDP étaient encore résistants, en particulier les serveurs avec une authentification RDP sur le port UDP 3389.
Les chercheurs de Nescout qui ont découvert l’attaque ont déclaré que les acteurs malveillants peuvent envoyer des paquets UDP mal informés vers les ports UPD du serveur. Ceci aura une réflexion sur la cible DDoS. Elle sera également amplifiée en taille, ce qui entraînera un énorme trafic de courrier indésirable atteignant le système de la victime.
Le facteur d’amplification DDoS permet aux acteurs malveillants d’avoir accès à des ressources limitées pour exécuter des attaques DDoS à grande échelle. Ils utilisent des systèmes exposés à Internet comme outils pour amplifier le trafic indésirable.