Des pirates exploitent un ancien protocole de routage pour amplifier les attaques DDoS
Les chercheurs d'Akamai mettent en garde les propriétaires de routeurs Soho utilisant encore la version 1 du protocole de routage Routing Information Protocol (RIPv1) : des pirates exploitent l'ancien protocole pour amplifier des attaques par déni de service.
Certains serveurs sont encore hantés par un fantôme des années 1980 : des pirates ont trouvé un moyen d'exploiter un protocole de routage obsolète pour lancer des attaques par déni de service. Ces attaques observées en mai dernier par l'équipe de recherche d'Akamai exploitaient des routeurs utilisés par des particuliers ou des petites entreprises (Soho) utilisant encore le protocole de routage Routing Information Protocol version 1 (RIPv1). Ce protocole permet aux routeurs utilisés sur de petits réseaux d'échanger des informations de routage. Introduit en 1988, le protocole RIPv1 a été mis en retraite en 1996 à cause de plusieurs lacunes identifiées dans la norme Internet, notamment l'absence d'authentification. Celles-ci ont été résolues dans la version 2 du RIP (RIPv2) encore en usage aujourd'hui.
Dans les attaques DDoS observées par les chercheurs d'Akamai, dont le pic a atteint 12,8 gigabits par seconde, les assaillants ont réussi à détourner 500 routeurs SOHO environ encore compatibles RIPv1 pour réfléchir et amplifier leur trafic malveillant. La technique d'attaque par réflexion peut servir à masquer la véritable source de l'attaque, tandis que l'amplification permet aux attaquants d'augmenter le volume du trafic. Le RIP permet au routeur de demander à d'autres routeurs des informations stockées dans leurs tables de routage. Le problème est que l'adresse IP source peut être usurpée, c'est à dire que la réponse des routeurs et leurs informations peuvent être détournées vers l'adresse IP d'une victime ciblée par les attaquants.
Une amplification de 13 000%
Cette attaque est dite par réflexion parce que la victime recevra un trafic non sollicité provenant des routeurs détournés, et pas de systèmes directement contrôlés par les assaillants. Mais cette technique présente une autre caractéristique importante : la taille d'une requête RIPv1 normale est de 24 octets, mais si les réponses générées par les routeurs détournées sont plus grandes, les attaquants peuvent générer plus de trafic qu'ils ne pourraient le faire avec la bande passante à leur disposition. Dans les attaques observées par Akamai, les routeurs détournés ont pu générer des réponses multiples - jusqu'à 10 parfois - représentant des charges utiles de 504 octets chacune, soit un niveau d'amplification de 13 000 %.
Les protocoles DNS (Domain Name System), mDNS (multicast DNS), NTP (Network Time Protocol) et le protocole SNMP (Simple Network Management Protocol) peuvent également être exploités pour mener des attaques DDoS par réflexion et par amplification si les serveurs ne sont pas correctement configurés. Après un balayage de l'Internet, l'équipe d'Akamai a trouvé 53 693 appareils qui utilisaient encore le protocole RIPv1 et pouvaient donc être exploités pour mener des attaques DDoS par réflexion. La plupart de ces routeurs sont des routeurs domestiques ou de petites entreprises. Les chercheurs ont également réussi à déterminer la marque et le modèle de plus de 20 000 d'entre eux : leur interface de gestion web étant mal protégée, elle était aussi accessible depuis Internet.
Des listes de contrôle pour restreindre le trafic
Environ 19 000 routeurs sont des Netopia 3000 et 2000 de la série DSL. Ces routeurs sont distribués par les FAI à leurs clients, principalement aux Etats-Unis. Avec 10 000 terminaux installés, AT&T est l'opérateur dont le parc de routeurs Netopia est le plus important. Viennent ensuite BellSouth et Megapath, qui en ont chacun 4000 environ. 4000 routeurs RIPv1 trouvés par Akamai sont des modems ZXV10 ADSL de ZTE et quelques centaines sont des routeurs des séries TD-8xxx de TP-Link (en illustration). Si tous ces terminaux peuvent servir à mener des attaques DDoS par réflexion, tous ne sont pas adaptés pour de l'amplification, beaucoup répondant aux requêtes RIPv1 sur une seule route. Mais les chercheurs ont quand même identifié 24 212 appareils capables d'offrir un taux d'amplification de 83 %.
« Pour éviter de subir des attaques exploitant le protocole RIPv1, les propriétaires de serveurs doivent utiliser des listes de contrôle d'accès pour restreindre le trafic Internet sur le port source UDP 520 », ont recommandé les chercheurs d'Akamai dans leur rapport. Par ailleurs, les propriétaires d'appareils encore compatibles RIPv1 devraient passer au RIPv2, restreindre l'usage du protocole au réseau local, et si aucune de ces options n'est applicable, d'utiliser les listes de contrôle d'accès pour restreindre le trafic RIPv1 aux routeurs de proximité.