Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Akamai met en garde contre une résurgence des attaques DDoS par réflexion au moyen d’un protocole de routage révolu

juillet 2015 par Akamai

Akamai Technologies, Inc. publie ce jour, via PLXsert (Prolexic Security Engineering & Research Team), une nouvelle alerte de cybersécurité. La menace concerne l’utilisation croissante d’un protocole de routage révolu, RIPv1 (Routing Information Protocol), pour des attaques par réflexion et par amplification.

Qu’est-ce que RIPv1 ?

RIPv1 est un moyen rapide et facile de partager de manière dynamique des informations de routage sur un petit réseau multi-routeur. Une requête type est envoyée par un routeur exécutant RIP à la première configuration ou mise sous tension. À partir de là, tout équipement à l’écoute communiquera en retour une liste de routes et d’informations à jour qui sont transmises à plusieurs destinataires (mode broadcast).

« Cette version du protocole RIP a été lancée en 1988, il y a plus de 25 ans, et définie dans la RFC 1058 », précise Stuart Scholly, vice-président senior et directeur général du pôle Sécurité d’Akamai. « Si cette résurgence de RIPv1 après plus d’une année d’inactivité est inattendue, il est manifeste que les pirates mettent à profit leur familiarité avec ce vecteur d’attaques DDoS par réflexion que l’on pensait abandonné. Il est relativement simple, pour un pirate, de mettre à profit le comportement de RIPv1 pour lancer une attaque DDoS par réflexion : via une requête broadcast classique, la requête malveillante peut être envoyée en mode unicast directement au réflecteur. Il suffit ensuite au pirate d’usurper l’adresse IP source pour l’associer à la cible visée - et de causer ainsi des dommages au réseau. »

Utilisation de RIPv1 pour lancer une attaque DDoS par réflexion

Les études du PLXsert établissent que les pirates préfèrent les routeurs pour lesquels la base de données RIPv1 possède une multitude de routes. La plupart des attaques avérées avaient été déclenchées par des requêtes qui, individuellement, ont donné lieu à de multiples charges utiles de 504 octets adressées en réponse à une cible. Une requête RIPv1 type ne contenant qu’une charge utile de 24 octets, cela prouve que les pirates parviennent, avec une simple requête, à inonder la cible visée avec de vastes quantités de trafic non sollicité.

L’équipe a passé au crible une attaque contre un client Akamai opérée le 16 mai 2015. L’étude et l’analyse non-intrusive de celle-ci ont révélé que les équipements employés pour l’attaque par réflexion RIP n’ont sans doute pas utilisé de matériel de routage de classe entreprise. L’équipe rappelle que RIPv1 fonctionne comme prévu, mais que néanmoins des acteurs malveillants continueront à mettre à profit cette méthode pour lancer facilement des attaques par réflexion et par amplification.

Neutralisation des menaces

Pour éviter une attaque DDoS par réflexion avec RIPv1, envisagez l’une des techniques suivantes :

• Passez à RIPv2, ou une version ultérieure, pour favoriser l’authentification
• Utilisez une liste de contrôle d’accès (ACL) pour restreindre l’accès au port source UDP 520 à partir d’Internet

Akamai continue à surveiller les campagnes en cours, qui font appel à RIPv1 pour lancer des attaques DDoS par réflexion.




Voir les articles précédents

    

Voir les articles suivants