Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Blacknurse : une attaque DDoS « nouvelle » … déjà connue et neutralisable 6cure Security Expert Team

novembre 2016 par SOC TDC

Le 10 novembre, des chercheurs Danois du SOC TDC ont souhaité mettre en lumière une veille recette d’attaque DDoS fondée sur le protocole ICMP et baptisée BlackNurse. Historiquement, les attaques ICMP les plus populaires utilisent des paquets ICMP de type "Ping" (ICMP Type 8 Code 0). L’attaque BlackNurse utilise des paquets ICMP de type "Port unreachable" (ICMP Type 3 Code 3). En temps normal, ce type de paquets ICMP est généré par une destination qui reçoit un paquet sur un port fermé. Cette destination peut être un serveur, un routeur, ou encore un pare-feu. Ces messages sont nécessaires au fonctionnement des méthodes "ICMP Path MTU Discovery", notamment utilisées par certains flux IPsec et PPTP. Il n’est donc pas recommandé de les interdire totalement.

Le SOC TDC a montré qu’avec 40 à 50000 paquets par seconde de ce type (représentant moins de 20Mbps de trafic ICMP), un attaquant pouvait causer une défaillance majeure sur certains équipements, en particulier en faisant grimper la charge CPU de pare-feux, créant alors un déni de service pour les infrastructures "protégées" par ces derniers. Les équipements vulnérables comprennent notamment des produits fournis par Cisco (ASA 55xx), SonicWall (1), Palo Alto ou encore Zyxel.
L’attaque est très facile à mener, et les outils de tests traditionnels tels que hping3 peuvent très bien la reproduire.

Des parades existent

Des solutions anti-DDoS spécialisées (telles que par exemple 6cure Threat Protection(R)), qui éliminent nativement tous types de floods ICMP, quels que soient les types et codes utilisés, doivent permettre de répondre à cette problématique.

L’activation d’une fonctionnalité éliminant les requêtes redondantes permet de contraindre et nettoyer les flux malveillants. L’utilisation d’une option de type "Blacklist" peut renforcer cette protection en identifiant et en mettant en quarantaine les sources de l’attaque.

Au-delà du concept présenté par le SOC TDC, une industrialisation de la menace BlackNurse est à prévoir, avec des variantes plus nocives qui pourraient déclencher l’attaque depuis un botnet hyper-distribué en employant des messages ICMP "Port Unreachable" de grande taille.

En ce sens, la protection apportée par l’activation combinée de différents mécanismes de mitigation peut garantir la totale disponibilité de la bande passante ainsi ciblée.


(1) « Les ingénieurs SonicWall avaient pris connaissance de ce rapport en Septembre et ont depuis travaillé directement avec Lenny Hansson de TDC, un des chercheurs qui a écrit le rapport publié cette semaine (http://soc.tdc.dk/blacknurse/blacknurse.pdf). Les tests SonicWall ont montré que le pare-feu SonicWall n’était pas vulnérable lorsque la protection du ping flood (ICMP) était activée. Les informations Reddit sont donc inexactes, SonicWall ne fait pas parti des pare-feu vulnérables répertoriés dans le report TDC. »

Par ailleurs, Florian Malecki estime que concernant l’activation par défaut de la fonction ping flood. Nous avons la confirmation que le pare-feu SonicWall n’est pas vulnérable même lorsque la protection ping flood (ICMP) n’est pas activée. SonicWall recommande cependant à ses utilisateurs de l’activer.


Voir les articles précédents

    

Voir les articles suivants