Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Akamai : Les DDoS-for-Hire s’en prennent aux applications SaaS telle que Joomla

mars 2015 par Akamai

Akamai Technologies, Inc. a publié, via Prolexic Security Engineering & Response Team (PLXsert), en partenariat avec le R.A.I.D (Division de Recherche, Analyse et Intelligence) de PhishLabs, une nouvelle alerte. Elle attire l’attention des entreprises et fournisseurs de SaaS sur les attaques qui utilisent des serveurs Joomla avec un plug-in Google Maps vulnérable, elles se servent de cette plate-forme pour lancer des attaques par déni de service distribué (DDoS).

« Les failles des applications web hébergées par des fournisseurs de SaaS continuent de servir de munitions aux cybercriminels. Aujourd’hui, ils ciblent une faille du plugin Joomla pour laquelle ils ont créé une nouveau type d’attaques DDoS et de nouveaux outils à la ’location’ », avertit Stuart Scholly, senior vice president et general manager de la Security Business Unit chez Akamai. « Il s’agit là d’une nouvelle vulnérabilité des applications web dans un océan de failles. Et nous n’en sommes qu’au début. Les entreprises doivent disposer de plans de protection DDoS afin de limiter le trafic de déni de service provenant de millions de serveurs Cloud contenant des SaaS et qui peuvent servir pour des attaques DDoS ».

La faille du plugin Google Maps pour Joomla autorise des attaques DDoS

Une faille identifiée du plugin Google Maps pour Joomla permet d’utiliser ce plugin comme un proxy. Le plugin Google Maps vulnérable permet aux serveurs Joomla qui l’utilisent de s’en servir comme d’un proxy. Les hackers masquent la source des requêtes, ce qui a pour effet d’envoyer les résultats depuis le proxy à la cible du déni de service. La source réelle de l’attaque reste indétectable, puisqu’elle semble provenir des serveurs Joomla.

Grâce à la coopération du R.A.I.D de PhishLabs, PLXsert a identifié le trafic DDoS issu des multiples sites Joomla, en pointant les installations vulnérables utilisées massivement pour des afflux de GET en miroir. L’observation du trafic et des données des attaques suggère que la charge est issue de sites connus pour être des DDoS-for-Hire.

PLXsert a pu identifier sur Internet plus de 150 000 réflecteurs Joomla potentiels. Bien que de nombreux serveurs aient été corrigés, reconfigurés, verrouillés ou aient désinstallé le plugin, nombreux sont ceux qui restent vulnérables à ce type d’attaques.

Détails d’une attaque DDoS limitée

En novembre, PLXsert a limité les effets d’une attaque DDoS de ce type pour le compte d’un client d’Akamai. La majorité des principales adresses IP ayant participé à l’attaque provenait d’Allemagne. Les mêmes adresses IP ayant participé à l’attaque avaient déjà participé à des attaques DDoS contre d’autres clients Akamai dans les secteurs de l’hôtellerie, du divertissement et des biens de consommation.

Une limitation DDoS multicouches assure une protection contre les attaques DDoS par amplification

Actuellement, de nombreux types d’attaques DDoS par amplification sont utilisés. Au 4ème trimestre 2014, PLXsert d’Akamai a observé que 39 % du trafic total des attaques DDoS utilisaient des techniques par amplification. Chacune des attaques DDoS par amplification s’appuie sur une faille d’un protocole ou d’une application Internet, permettant ainsi aux hackers d’amplifier le trafic malveillant vers un serveur ou un terminal tiers, en masquant leur identité et en amplifiant le volume de l’attaque au cours du processus.

La limitation d’une attaque DDoS basée sur le cloud peut combattre ce problème afin de protéger les entreprises contre le trafic malveillant. La sécurité en périphérie et les centres d’interception stoppent les attaques de trafic DDoS bien avant qu’elles n’affectent le site web ou le centre de données d’un client.




Voir les articles précédents

    

Voir les articles suivants