Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Akamai : PLXsert lance une mise en garde contre la menace d’attaques DDoS SNMP par amplification

juillet 2014 par Akamai

Akamai Technologies, Inc., a lancé récemment, par l’intermédiaire de PLXsert (Prolexic Security Engineering & Response Team), une alerte concernant un nouveau type d’attaque distribuée par déni de service. Cette alerte souligne une résurgence marquée, au cours du dernier mois, dans l’utilisation d’attaques par amplification via le protocole SNMP (Simple Network Management Protocol). Ces attaques DDoS abusent le protocole SNMP qui est en général supporté par des outils en réseau comme les imprimantes, les switchs, les pare-feux et les routeurs.

Terminaux en réseau piratés par des attaques DDoS

De nombreux terminaux en réseau utilisent le protocole SNMP pour stocker des données comme des adresses IP sur un routeur ou sur les toners utilisés dans les imprimantes. De plus, des terminaux plus anciens (fabriqués en général il y a trois à quatre ans) utilisent des versions 2 du protocole SNMP et fonctionnent avec un protocole SNMP accessible par défaut au public.

En utilisant des requêtes GetBulk contre SNMP v2, des acteurs malveillants peuvent forcer l’envoi en une seule fois d’un grand nombre de données stockées sur les terminaux en réseau vers une cible afin de submerger ses capacités. Ce type d’attaque DDoS, appelée attaque par réflexion et amplification (DrDoS), permet aux pirates de n’utiliser qu’une partie relativement faible de leurs ressources pour créer un volume massif de trafic malveillant.

« L’utilisation de types précis d’attaques du protocole par réflexion comme SNMP apparaît de temps en temps », explique Emmanuel Macé, Solutions Engineer et security Expert chez Akamai Technologies. « De nouveaux outils de réflexion SNMP ont alimenté ces attaques. »

Des détails sur l’un de ces outils d’attaque SNMP figurent dans l’alerte de menace DDoS

« Nous encourageons les administrateurs réseau à identifier et à sécuriser des terminaux équipés du protocole SNMP v.2 » ajoute Emmanuel Macé. « La communauté Internet a activement blacklisté les terminaux impliqués dans les récentes attaques DDoS, mais nous avons aussi besoin que les administrateurs réseau prennent les mesures nécessaires décrites dans l’alerte de menace. Les administrateurs réseau peuvent permettre d’éviter que de nouveaux terminaux soient identifiés par des acteurs malveillants ».

Dans cette alerte, PLXsert fait part de ses analyses et d’informations détaillées sur les attaques DDoS par réflexion du SNMP, notamment :
 Comment identifier une attaque DDoS par réflexion de SNMP
 Des échantillons du code source
 Les charges utiles
 Les règles de l’IDS snort (signature de l’attaque)
 Instructions de rétablissement pour les possesseurs de terminaux utilisant le protocole SNMP v2

Un exemplaire gratuit de l’alerte de menace DDoS peut être téléchargé sur www.prolexic.com/snmp-reflector


Voir les articles précédents

    

Voir les articles suivants