LES HACKERS AMPLIFIENT LES ATTAQUES DDOS EN EXPLOITANT LES MIDDLEBOX TCP

Posté le mars 3, 2022 à 7:53

LES HACKERS AMPLIFIENT LES ATTAQUES DDOS EN EXPLOITANT LES MIDDLEBOX TCP

Les acteurs de menaces abusent désormais des middlebox pour réfléchir et amplifier les attaques par déni de service distribué (DDoS). L’année dernière, des chercheurs de l’Université du Colorado et de l’Université du Maryland ont théorisé l’utilisation de réseaux et de systèmes de censure mal configurés pour la réflexion des DDoS.

Ils ont montré que les acteurs de la menace pouvaient abuser de l’infrastructure de censure afin d’amplifier une attaque DDoS jusqu’à des ratios de 700 000:1. En outre, les chercheurs ont noté que les systèmes de prévention des intrusions et les pare-feu déployés pour protéger les systèmes pouvaient également être utilisés comme armes par les hackers.

Les attaques par amplification ont été utilisées à plusieurs reprises par des acteurs malveillants pour perturber et infiltrer des services avec de courtes rafales de trafic pouvant atteindre 3,47 tbps. L’année dernière, Microsoft a mis fin à des attaques lancées à une échelle similaire lors d’une compétition entre joueurs de jeux en ligne.

Toutefois, selon le rapport, l’attaque DDoS récemment découverte qui utilise la « TCP Middlebox Reflection », est plus puissante.

Akamai, une entreprise de distribution de contenu, a noté que la récente vague d’attaques a atteint 11 Gbps à 1,5 million de paquets par seconde.

La méthode d’amplification utilisée par les acteurs de la menace a été révélée par les chercheurs, qui ont montré que les attaquants peuvent abuser des middlebox comme les pare-feu via TCP pour rendre les attaques DDoS plus puissantes.

Des centaines d’adresses IP sont en danger

En général, la majorité des attaques DDoS compromettent le protocole UDP (User Datagram Protocol) pour amplifier la transmission des données. Les attaquants envoient généralement des paquets à un serveur, qui répond en augmentant la taille des paquets avant de les transmettre à la cible principale.

L’attaque TCP abuse des middlebox du réseau qui ne respectent pas les normes TCP. Selon les chercheurs, il existe déjà des centaines d’adresses IP qui peuvent être utilisées pour amplifier les attaques DDoS par plus de 100 fois en utilisant des dispositifs de filtrage de contenu et des pare-feu.

Il y a huit mois, l’attaque n’était qu’une possibilité découverte par les chercheurs. Cependant, des faits indiquent désormais qu’il s’agit d’une menace réelle et active.

« C’est la première fois que nous observons cette technique dans la nature », ont déclaré les chercheurs, ajoutant que l’amplification DDoS de Middlebox est un type totalement nouveau d’attaque par amplification/réflexion TCP, très puissant et très risqué pour l’internet.

Les pare-feu et autres dispositifs middlebox de sociétés comme Palo Alto Networks, SonicWall, Fortinet et Cisco, constituent des infrastructures de réseau importantes pour ces organisations. Malheureusement, certaines middlebox ne valident pas correctement l’état des flux TCP lorsqu’elles appliquent des politiques de filtrage de contenu. Cela offre des ouvertures que les hackers peuvent explorer et utiliser à leur avantage.

Les acteurs de menaces peuvent rediriger le trafic de réponse des Middlebox

Comme l’ont souligné les chercheurs, les middlebox peuvent être modifiées pour répondre aux paquets TCP expirés. Certaines de ces réponses peuvent provenir d’acteurs qui cherchent à « détourner » les navigateurs des clients tout en essayant d’empêcher les utilisateurs d’avoir accès aux comptes bloqués. Cela peut conduire à une exploitation abusive de l’implémentation TCP. Elle peut être utilisée de manière abusive pour renvoyer le trafic TCP aux victimes de DDoS, qui peuvent ne voir aucun problème avec les données jusqu’à ce qu’il soit trop tard.

Les hackers peuvent se jeter sur ces dispositifs et usurper l’adresse IP source des victimes ciblées, en dirigeant le trafic de réponse depuis ces middleboxes.

Selon les chercheurs, les acteurs malveillants ont maintenant trouvé des moyens d’abuser de l’implémentation du protocole TCP dans certaines middlebox, les amenant à répondre de manière inattendue aux messages du paquet SYN. Les chercheurs ont également noté que, d’après leurs recherches, un paquet SYN avec une charge utile de 33 octets a généré une réponse de 2 165 octets, ce qui signifie que l’attaque a été amplifiée d’un étonnant 6 533 %.

En outre, même s’il n’y a pas eu de connexion TCP établie qui soit valide, certaines middlebox peuvent donner certains signaux, en répondant aux demandes avec de très importantes pages de blocage.

Les équipes de sécurité sont invitées à revoir leurs stratégies défensives

Le rapport d’Akamai a également révélé que les acteurs de la menace peuvent concevoir des séquences de paquets TCP et les transmettre aux middlebox. Si les en-têtes de requête contiennent le nom de domaine d’un site bloqué, ils peuvent répondre avec les pages HTML ou les en-têtes HTTP entiers.

Généralement, lors d’une attaque DDoS, l’attaquant usurpe la source de la victime ciblée, ce qui peut amener les middlebox à diriger le trafic vers la nouvelle IP. Cela donne aux acteurs de la menace une opportunité de réflexion, qui peut conduire à un facteur d’amplification majeur dans certains cas, conclut le rapport.

Les chercheurs ont conseillé aux défenseurs d’être conscients que la menace est désormais réelle et non plus théorique. En conséquence, ils devraient revoir leurs stratégies défensives pour se préparer au nouveau vecteur qui pourrait devenir actif dans la nature.

Summary
LES HACKERS AMPLIFIENT LES ATTAQUES DDOS EN EXPLOITANT LES MIDDLEBOX TCP
Article Name
LES HACKERS AMPLIFIENT LES ATTAQUES DDOS EN EXPLOITANT LES MIDDLEBOX TCP
Description
Les acteurs de menaces abusent désormais des middlebox pour réfléchir et amplifier les attaques par déni de service distribué (DDoS).
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

%d blogueurs aiment cette page :