En 2021, des chercheurs ont mis en garde contre un nouveau type d’attaque DDoS qui profitait des boîtiers de médiation du réseau pour effectuer une amplification de la réflexion sur le protocole TCP. La semaine dernière, Akamai a signalé la première vague d’attaques DDoS par réflexion du boîtier de médiation TCP dans la nature.

Les découvertes d’Akamai montrent que les acteurs malveillants commencent à ajouter la réflexion du boîtier de médiation TCP à leur arsenal et éventuellement à l’affiner pour des attaques plus importantes à l’avenir.

Qu’est-ce que l’amplification par réflexion TCP ?

Une attaque par amplification par réflexion est une attaque dans laquelle l’attaquant se fait passer pour la victime, envoie une requête à un serveur ouvert et le serveur envoie une réponse à la victime qui est beaucoup plus grande que la requête.

Il y a eu de très grandes attaques par réflexion sur des protocoles tels que DNS, NTP et Memcached. Mais les attaques par réflexion ont toujours été limitées à UDP car il est sans connexion et ne nécessite aucune configuration initiale entre le serveur et le client.

L’année dernière, lors du Usenix Security Symposium, un groupe de chercheurs de l’Université du Maryland et de l’Université du Colorado a prouvé que les attaquants pouvaient exploiter des boîtiers intermédiaires tels que des pare-feu, des systèmes IDS/IPS ou même une infrastructure de censure Web pour Attaques d’amplification par réflexion de scène contre les protocoles TCP tels que HTTP et HTTPS.

RATTRAPER Un essuie-glace de données déployé dans des cyberattaques ciblant des systèmes ukrainiens

Les chercheurs ont montré que les attaquants pouvaient déclencher des boîtiers de médiation en usurpant l’adresse IP de la victime et en demandant une page Web filtrée. Le boîtier de médiation envoie ensuite sa page de réponse de contenu filtré à la victime sans passer par le processus de prise de contact TCP – un mécanisme qui peut être exploité pour organiser des attaques d’amplification de réflexion.

L’attaque a la même ampleur que son équivalent UDP, et dans certains cas, le boîtier de médiation et la victime peuvent amplifier l’attaque à l’infini.

Les découvertes d’Akamai

Akamai a récemment trouvé instances réelles d’attaques d’amplification par réflexion TCP sur les réseaux de ses clients. Dans un cas, un seul paquet SYN avec une charge utile de 33 octets a déclenché une réponse de 2 156 octets, un facteur d’amplification de 65x. Un autre cas a montré qu’une seule demande de l’attaquant bloquait le boîtier de médiation et la victime dans une boucle infinie d’amplification auto-entretenue.

« Il s’agit d’un service facilement abusif et il existe un certain nombre de boîtiers vulnérables déployés sur Internet sur tous les types de réseaux, des systèmes d’entreprise aux systèmes de censure déployés par les gouvernements », a déclaré Larry Cashdollar de l’équipe d’intervention en matière de renseignement de sécurité d’Akamai. La gorgée quotidienne.

Les premières attaques observées par Akamai ont atteint un pic de 50 Mbps. Mais les acteurs à l’origine des attaques ont progressivement perfectionné et affiné leurs techniques et leurs plus récentes attaques par réflexion du boîtier de médiation TCP ont atteint des pics de 2,7 Gbps et 11 Gbps.

« Jusqu’à présent, les secteurs de la banque, des voyages, des jeux, des médias et de l’hébergement Web ont été ciblés, mais nous nous attendons à ce que la variété des cibles augmente à mesure que cette technique d’attaque gagne en popularité », a déclaré Cashdollar.

Akamai avertit que bien que les attaques d’amplification par réflexion du boîtier de médiation TCP soient encore relativement petites, les attaquants commencent à « s’approprier la technique d’attaque du boîtier de médiation et commencent à l’exploiter comme un autre outil dans leur arsenal DDoS ».

La baisse des coûts des attaques DDoS

En ce qui concerne les découvertes d’Akamai, Kevin Bock, l’auteur principal du document de réflexion sur le boîtier de médiation TCP, a déclaré La gorgée quotidienne« Malheureusement, nous n’avons pas été surpris de voir le rapport – nous nous attendions à ce que ce ne soit qu’une question de temps avant que ces attaques soient menées dans la nature, car elles sont faciles et très efficaces.

« Peut-être le pire de tout, les attaques sont nouvelles ; par conséquent, de nombreux opérateurs n’ont pas encore mis en place de défenses, ce qui le rend d’autant plus attrayant pour les attaquants.

Dans leurs recherches, Bock et ses collègues ont découvert qu’il existe des millions d’adresses IP qui peuvent donner l’impression qu’elles sont à l’origine de ces attaques, ce qui rend beaucoup plus difficile pour les opérateurs d’arrêter les attaques en bloquant simplement les adresses IP.

EN RELATION Le programme Cloudflare Bug Bounty devient public avec une offre de 3 000 $ de récompenses

« Globalement, [Akamai’s] rapport correspond étroitement à nos conclusions, et les attaquants semblent utiliser directement les séquences de paquets et les domaines de déclenchement que nous avons démontrés dans le document », a déclaré Bock.

À la lumière des découvertes d’Akamai, Omer Yoachimik, chef de produit chez Cloudflare, a mis en garde contre la généralisation des attaques DDoS.

« Le prix et les efforts requis pour lancer des attaques DDoS ne cessent de diminuer – ce qui permet aux acteurs malveillants de lancer des attaques plus facilement et à moindre coût ou, s’ils n’ont pas le savoir-faire technique, d’embaucher un DDoS-as-a-Service pour cibler leur victime », a-t-il déclaré. Raconté La gorgée quotidienne.

« Ce nouveau vecteur d’attaque élargit la boîte à outils de l’attaquant et fournit une autre méthode pour l’aider à perturber Internet. L’économie du lancement d’attaques DDoS continue de favoriser l’attaquant.

Protection contre les DDoS de réflexion du boîtier de médiation TCP

Les attaques DDoS du boîtier de médiation TCP sont une menace en développement, mais l’équipe de sécurité d’Akamai a déjà trouvé des signes indiquant une amplification de la réflexion TCP.

« Dans les applications du monde réel, à de très rares exceptions près, les paquets SYN sont utilisés pour initier la poignée de main TCP ; ils ne sont pas utilisés pour la transmission de données », a déclaré Cashdollar. « Cela signifie que les inondations SYN d’une longueur supérieure à 0 octet devraient être suspectes et pourraient être une métrique que vous pouvez exploiter pour l’atténuation. »

Yoachimik de Cloudflare a suggéré que « pour modifier l’équilibre économique de l’attaque en faveur des victimes, il est recommandé de protéger vos propriétés Internet à l’aide d’un service de protection DDoS automatisé et permanent avec une capacité suffisante ».