Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Akamai identifie une nouvelle méthode d’attaque par réflexion

avril 2017 par Akamai

L’équipe Security Intelligence Response Team (SIRT) d’Akamai Technologies, Inc. vient de publier une nouvelle alerte cybersécurité. Les chercheurs d’Akamai, Jose Arteaga et Wilber Majia, ont identifié une nouvelle méthode de réflexion et d’amplification utilisant le protocole CLDAP (Connection-less Lightweight Directory Access Protocol). Ils ont observé que, comme les attaques des systèmes de noms de domaine (DNS) par réflexion, ce vecteur d’attaques DDoS dépassait toujours 1 Gbit/s.

Présentation

Contrairement à d’autres vecteurs basés sur la réflexion, dans lesquels les hôtes impliqués se comptent par millions, le facteur d’amplification CLDAP observé peut produire une bande passante dédiée aux attaques significatives avec un faible nombre d’hôtes.

Depuis octobre 2016, Akamai a détecté et neutralisé un total de 50 attaques CLDAP par réflexion, dont 33 étaient des attaques à simple vecteur utilisant exclusivement la réflexion CLDAP. La plus grande attaque DDoS utilisant la réflexion CLDAP comme unique vecteur, observée à ce jour par l’équipe SIRT, est une attaque de 24 Gbit/s neutralisée par Akamai le 7 janvier 2017. En moyenne, la bande passante utilisée pour les attaques CLDAP a été de 3 Gbit/s. Alors que le secteur des jeux vidéo est généralement la principale cible des attaques DDoS, les attaques CLDAP ont principalement touché le marché des logiciels et de la technologie. Les autres industries ciblées étaient notamment Internet et les télécommunications, les médias et le divertissement, l’éducation, le commerce et les biens de consommation, et enfin les services financiers.

La plus grande concentration de réflecteurs CLDAP uniques observés lors des attaques se situait aux États-Unis.

Protection

À l’instar de nombreux autres vecteurs d’attaque par réflexion et amplification, les attaques CLDAP seraient inopérantes si les entreprises disposaient d’un système de filtrage d’entrée satisfaisant. Les hôtes potentiels sont découverts grâce à des analyses Internet et un filtrage du port 389 sur le protocole UDP (User Datagram Protocol, protocole de datagramme utilisateur).

Akamai a observé un total de 7 629 réflecteurs d’attaques CLDAP uniques selon les sources collectées pendant les attaques CLDAP par réflexion réelles. Le pool de réflecteurs CLDAP pouvant être utilisé est cependant plus grand que le nombre observé par Akamai, comme le prouve l’analyse d’Internet. À moins qu’une entreprise ait un besoin légitime de mettre le protocole CLDAP à disposition sur Internet, il ne devrait en aucun cas être exposé, au risque d’aggraver encore le problème de réflexion DDoS. Une fois qu’un serveur a été identifié comme source potentielle d’une attaque CLDAP par réflexion, Akamai l’ajoute à une liste de réflecteurs connus pour prévenir tout abus ultérieur de ce service.

« Plus de 50 % de l’ensemble des attaques sont généralement composés d’attaques par réflexion basées sur le protocole UDP », explique Jose Arteaga, membre de l’équipe SIRT d’Akamai. « En se basant sur des similitudes partagées avec les scripts d’attaque UDP par réflexion, le protocole CLDAP a été ou sera probablement inclus dans un script d’attaque complet, puis intégré dans l’infrastructure booter/stresser. Si cela n’a pas encore été fait, les pires attaques restent sans doute à venir. »




Voir les articles précédents

    

Voir les articles suivants