Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Radware : un point technique sur Blacknurse

novembre 2016 par Radware

Suite aux différentes actualités à propos de Blacknurse, Radware partage avec vous quelques commentaires technique sur cette nouvelle menace informatique.

Contrairement à d’autres attaques récentes, Blacknurse atteint son objectif - paralyser l’accès à certains services web - sans requérir un très grand débit de données car elle utilise un vecteur précis : le protocole ICMP. Ce protocole, comme TCP/IP, est une des bases d’internet. Il est normalement utilisé pour véhiculer des messages de contrôle et d’erreur, permettant ainsi aux machines qui composent le réseau d’échanger des informations fondamentales. La plupart des attaques ICMP sont fondées sur la fonction ICMP Echo (Type 8 Code 0) qui permet de requérir un renvoi d’information : un ping. Dans le jargon, on les appelle d’ailleurs attaques Ping Flood. Elles bloquent l’accès au service qu’elles visent en monopolisant la bande passante. Blacknurse exploite une vulnérabilité de certains firewalls, y compris haut de gamme, qui passe par ICMP Type 3 Code 3, une fonction qui gère l’accessibilité des ports et peut rendre le matériel victime inaccessible avec quelques simples requêtes qui n’occupent que très peu de bande passante. Sur les firewalls en question elle génère une charge énorme sur le processeur et empêche de faire suivre les paquets ce qui paralyse le réseau.

Les premières investigations semblent indiquer que les firewalls victimes de Blacknurse sont mises à la peine car elles essaient de faire une analyse stateful du packet malicieux. La fonction ICMP « destination unreachable » inclue les premières bytes du packet qui a causé l’erreur en question dans leur charge de travail (payload) et un firewall peu utiliser cette information pour déterminer si l’erreur a été causée par un paquet légitime ou pas. En faisant ceci le firewall essaie de faire correspondre les informations sur le paquet analysé dans sa charge de travail (payload) avec leur session table ce qui se retranscrit immédiatement en temps CPU. Y compris sur les firewall hardware (ASIC) les nouvelles session et les paquets injoignables doivent être transmis à la partie software pour un vérification des règles ou des correspondance ce qui expliquerait pourquoi même les firewall haut de gamme sont impactés.

Habituellement les firewalls sont configurés pour bloquer un certain nombres de sous fonctions ICMP. Les bonnes pratiques en la matière consistent à bloquer ICMP type 0 (echo reply), 8 (echo request) et 11 (time exceeded). Ce sont 3 des 16 fonctions ICMP. D’autres sont requis pour permettre aux hôtes d’opérer correctement sur un réseau.

D’après la norme RFC 1812 qui établit les exigences pour les routeurs IPv4, un routeur doit être capable de générer des message ICMP « Destination Unreachable » et devrait être capable de choisir une réponse codée qui correspond au mieux à la raison pour laquelle le message est généré.

Lorsque l’attaque cesse, les firewalls victime retournent à un fonctionnement normal.

L’équipe ERT (Emergency Response Team) de Radware est bien entendu au courant de l’existence de Blacknurse. Nous sommes certains que le moteur d’analyse comportemental dans nos services et produits de protection DDoS détectera et génèrera automatiquement une signature pour bloquer le trafic malicieux des paquets Blacknurse. En plus de cela, nous évaluons la création de signatures IPS spécifiques pour rendre compte de l’activité ICMP Type 3, Code 3 afin d’alerter d’une possible attaque en cours.




Voir les articles précédents

    

Voir les articles suivants