Le Federal Bureau of Investigation (FBI) a publié une alerte alertant les organisations du secteur privé aux États-Unis sur une augmentation de l'utilisation des protocoles de réseau intégrés pour les attaques d'amplification à grande échelle par déni de service distribué (DDoS).
« Une attaque par amplification DDoS se produit lorsqu'un attaquant envoie un petit nombre de requêtes à un serveur et que celui-ci répond par des réponses plus nombreuses à la victime. En général, l'attaquant usurpe l'adresse IP (protocole Internet) source pour faire croire qu'il est la victime, ce qui entraîne un trafic qui submerge les ressources de la victime », a écrit le FBI. L'alerte a été mise en ligne, notamment sur le site de la cellule d'intégration de la cybersécurité et des communications du New Jersey (NJCCIC).
Le FBI souligne les vecteurs de menace et les développements récents, notant que les premières attaques par amplification DDoS pour abuser des protocoles de réseau remontent à décembre 2018, lorsque les cybercriminels ont exploité les fonctionnalités de multidiffusion et de transmission de commandes du protocole d'application sous contrainte (CoAP). La plupart des dispositifs CoAP accessibles sur Internet se trouvent en Chine et utilisent des réseaux peer-to-peer.
Au cours de l'été 2019, des attaquants ont pris pour cible le protocole WS-DD (Web Services Dynamic Discovery) pour lancer plus de 130 attaques DDoS, dont certaines ont atteint une magnitude de 350 gigabits par seconde. Les appareils de l'Internet des objets (IoT) utilisent les protocoles WS-DD pour détecter automatiquement d'autres appareils à proximité et comme il y en a 630 000 avec ce protocole activé, ils peuvent être des cibles intéressantes utilisées pour amplifier les attaques DDoS. Cette même année, les chercheurs ont également signalé une augmentation de l'utilisation de dispositifs IoT mal configurés dans les attaques DDoS amplifiées.
En octobre 2019, des mécréants ont utilisé abusivement le service de gestion à distance d'Apple (ARMS), qui fait partie de l'Apple Remote Desktop (ARD), pour mener des attaques par déni de service (DDoS) amplifiées. Ce protocole est généralement utilisé par les grandes organisations pour gérer leurs ordinateurs Apple.
Pire encore, en février 2020, des chercheurs ont découvert une vulnérabilité dans les protocoles de découverte réseau intégrés aux serveurs Jenkins, qui pourrait potentiellement permettre aux attaquants d'amplifier au centuple le trafic des attaques DDoS contre leurs victimes. Il n'existe aucune trace de cette faille exploitée jusqu'à présent, mais le FBI a souligné l'augmentation de la surface d'attaque qui en résulte.
« À court terme, les cybercriminels exploiteront probablement le nombre croissant de dispositifs dotés de protocoles de réseau intégrés, activés par défaut, pour créer des botnets à grande échelle capables de faciliter des attaques DDoS dévastatrices », souligne le FBI dans sa notification adressée au secteur privé.
Le Bureau a également présenté plusieurs mesures pour se défendre contre cette menace :
- Mettez en place un pare-feu réseau qui bloquera l'accès à toutes les adresses IP non autorisées.
- Assurez-vous que tous vos appareils connectés sont mis à jour avec les dernières versions de firmware et que les derniers correctifs de sécurité sont appliqués.
- Changez tous les noms d'utilisateur et mots de passe par défaut de votre IdO et des autres dispositifs et utilisez une authentification à deux facteurs.
- Inscrivez-vous auprès d'un service de réduction des DDoS.
Les attaques DDoS consistent généralement à inonder une cible avec du trafic provenant d'un grand nombre de dispositifs qui ont été regroupés dans un réseau de zombies, ce qui a pour effet de mettre les services de la victime hors ligne. Ces attaques sont souvent déclenchées pour extorquer de l'argent aux cibles ou même pour couvrir d'autres attaques. Quel que soit le motif, les attaques par déni de service de données, quelle que soit leur forme, sont connues pour coûter aux organisations des millions de dollars en pertes de revenus.
