En abusant d'un outil mal implémenté présent dans près d'un million de caméras connectées au réseau, d'enregistreurs numériques et d'autres périphériques IoT, les pirates informatiques ont découvert une nouvelle technique permettant d'amplifier les effets des attaques par déni de service.
La nouvelle technique abuse du protocole WS-Discovery (WSD) utilisé par un large éventail de périphériques réseau pour se connecter automatiquement les uns aux autres. Le protocole WSD permet aux périphériques d'envoyer des paquets UDP (User Datagram Protocol) sur le port 3702 pour décrire les capacités et les exigences d'un périphérique.
Cependant, les appareils qui reçoivent ces sondes peuvent répondre avec des réponses qui peuvent être des dizaines, voire des centaines de fois plus volumineuses, ce qui permet aux pirates informatiques d’amplifier la puissance de leurs attaques DDoS.
Selon l'appareil, ces réponses peuvent être sept à 153 fois plus grandes et cette amplification fait de WSD l'une des techniques les plus puissantes de l'arsenal des hackers pour amplifier les attaques par DDoS, pouvant paralyser les entreprises et les consommateurs.
Sommaire
Attaques DDoS amplifiées
Des chercheurs d'Akamai étaient récemment en train d'enquêter sur des attaques basées sur WSD lorsqu'un de leurs clients du secteur des jeux de hasard en était victime. À son apogée, l’attaque DDoS utilisant l’amplification WSD générait 35 Go par seconde de trafic indésirable.
Cette attaque n’était nulle part proche de l’attaque DDoS à 990 Gbps provoquée par des caméras de sécurité en 2016, mais la nouvelle technique employée par les pirates reste préoccupante en raison du nombre de périphériques disponibles estimés à plus de 802 000 par Akamai.
Dans un article de blog détaillant les conclusions d'Akamai, Jonathan Respeto a expliqué pourquoi la résolution des problèmes de machine à découper représente un risque majeur et comment les entreprises devraient se préparer à une nouvelle vague d'attaques par DDoS:
«La WSD représente un risque majeur sur Internet, car elle peut augmenter considérablement la bande passante avec la vidéosurveillance et les enregistreurs numériques. Une fois de plus, nous voyons la sécurité passer au second plan pour plus de commodité. Les fabricants peuvent simplement limiter la portée du protocole UDP sur le port 3702 à l'espace IP de multidiffusion. La seule chose que nous puissions faire maintenant est d’attendre que les appareils censés avoir une durée de vie de 10/15 ans s’éteignent et espérer qu’ils seront remplacés par une version plus sécurisée. Tout le monde étant une cible potentielle pour les attaques WSD, les entreprises doivent donc être prêtes à acheminer le trafic vers leur fournisseur de protection contre les attaques DDoS si elles subissent cette attaque de grande envergure. En raison de ses facteurs d'amplification importants, nous nous attendons à ce que les attaquants perdent peu de temps à tirer parti de WSD pour l'utiliser comme vecteur de réflexion. ”
Via Ars Technica
