Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Radware identifie et corrige les causes d’un vecteur d’attaque DDoS sud-coréen

mars 2011 par Radware

L’équipe d’intervention d’urgence (ERT) de Radware contre Circle-CC, un vecteur d’attaque DDoS sophistiqué qui empêche le serveur Web victime d’utiliser son mécanisme de mise en cache et amplifie ainsi l’impact de son attaque

Ces trois derniers jours, près de 40 sites Web commerciaux et gouvernementaux en Corée du Sud ont fait l’objet d’attaques massives systématiques par déni de service, notamment celui du bureau de la Présidence de Corée du Sud, de son ministère des affaires étrangères, de ses services de renseignements nationaux, de l’U.S. Forces Korea (les forces armées des États-Unis présentes en Corée du Sud) ainsi que certains sites Web financiers majeurs. La Corée du Sud a diffusé une alerte de cybersécurité à la suite des attaques qui ont touché les sites Web de 40 organismes publics et autres organisations, déclare la Korea Communications Commission (KCC, autorité de régulation de l’audiovisuel et des télécommunications sud-coréenne).

Les attaques proviennent d’un réseau de bots composé de 15 000 à 21 000 ordinateurs zombies contrôlés à distance, qui génèrent des attaques à vecteurs multiples, dont des inondations de réseau et des détournements d’applications parmi lesquelles des attaques de saturation SYN haut débit, de connexion TCP et HTTP-GET. Ces attaques visent à épuiser les ressources du serveur Web et des piles TCP afin que les utilisateurs légitimes ne puissent pas bénéficier du service.

Les hackers ont diffusé un code malveillant intitulé NetBot exploité pour générer les attaques de ces derniers jours. L’équipe ERT de Radware a étudié le vecteur d’attaque en analysant certains des ordinateurs zombies infectés. Le programme NetBot fut commercialisé à l’origine comme un outil de test de contrainte, mais depuis son passage dans le domaine public, il apparaît comme un puissant vecteur d’attaque DDoS. Les dernières versions de NetBot permettent un contrôle à distance des ordinateurs zombies infectés.

Une analyse des attaques révèle l’exploitation d’un vecteur d’attaque de NetBot intitulé Circle-CC. Circle-CC, une attaque DoS au niveau applicatif, sert à inonder le site Web victime en analysant systématiquement différentes pages du site. Ce type d’attaque DoS au niveau applicatif empêche le serveur cible d’exploiter son mécanisme de mise en cache et amplifie ainsi son impact. En outre, le fait que l’attaque utilise plusieurs pages rend impossible sa détection par des solutions standard de sécurité réseau qui reposent sur une détection statique d’inondations de requêtes URL.

Afin de parer totalement aux attaques à vecteurs multiples comme les attaques réseau DDoS, les attaques par saturation au niveau applicatif et les attaques dirigées et sophistiquées DoS, qui visent à exploiter des vulnérabilités spécifiques dans les applications du serveur, les cibles doivent déployer diverses technologies de prévention, notamment la prévention d’intrusion (IPS), la protection contre les dénis de service et l’analyse comportementale du réseau (NBA). La seule méthode efficace pour se défendre contre ces nouvelles menaces à vecteurs multiples consiste à allier ces technologies de sécurité à une équipe d’intervention d’urgence rigoureusement formée pour contrer ces types d’attaques DoS et en mesure d’analyser les vecteurs d’attaque utilisés pour trouver une manière de les neutraliser (rendre le vecteur inefficace en « l’étouffant » par des actions sophistiquées de filtrage).

Les clients sud-coréens de Radware qui exploitent ses technologies de sécurité et les services exclusifs de l’ERT permettant de créer une « contre-attaque » pour neutraliser les vecteurs d’attaque (élément de la stratégie de prévention de Radware) sont déjà protégés contre ces nouvelles attaques. Ceux-ci comprennent plusieurs sites d’e-commerce importants.


Voir les articles précédents

    

Voir les articles suivants