Attaques par déni de service distribué (DDoS) utilisant une nouvelle technique d’amplification appelée Réflexion du boîtier intermédiaire TCP ont été détectés pour la première fois dans la nature, six mois après la présentation théorique du nouveau mécanisme d’attaque.
« L’attaque […] abuse des pare-feux et des systèmes de filtrage de contenu vulnérables pour refléter et amplifier le trafic TCP vers une machine victime, créant ainsi une puissante attaque DDoS », des chercheurs d’Akamai mentionné dans un rapport publié mardi.
« Ce type d’attaque abaisse dangereusement la barre des attaques DDoS, car l’attaquant n’a besoin que de 1/75e (dans certains cas) de la quantité de bande passante d’un point de vue volumétrique », ont ajouté les chercheurs.
Un déni de service réflexif distribué (DRDoS) est une forme d’attaque par déni de service distribué (DDoS) qui s’appuie sur des serveurs UDP accessibles au public et des facteurs d’amplification de la bande passante (BAF) pour submerger le système d’une victime avec un volume élevé de réponses UDP.
Dans ces attaques, l’adversaire envoie un flot de requêtes DNS ou NTP contenant une adresse IP source falsifiée à l’actif ciblé, obligeant le serveur de destination à renvoyer les réponses à l’hôte résidant à l’adresse usurpée d’une manière amplifiée qui épuise la bande passante. délivré à la cible.
Le développement fait suite à une étude universitaire publiée en août 2021 sur un nouveau vecteur d’attaque qui exploite les faiblesses de l’implémentation du protocole TCP dans boîtes de médiation et une infrastructure de censure pour mener des attaques d’amplification par déni de service (DoS) réfléchies contre des cibles.
Alors que les attaques d’amplification DoS ont traditionnellement abusé des vecteurs de réflexion UDP – en raison de la nature sans connexion du protocole – la technique d’attaque non conventionnelle tire parti de la non-conformité TCP dans les boîtiers de médiation tels que l’inspection approfondie des paquets (PPP) pour mettre en scène des attaques d’amplification réflectives basées sur TCP.
La première vague de campagnes d’attaques « perceptibles » tirant parti de cette technique se serait produite vers le 17 février, frappant les clients d’Akamai dans les secteurs de la banque, du voyage, des jeux, des médias et de l’hébergement Web avec des volumes de trafic élevés qui ont culminé à 11 Gbps à 1,5 million de paquets par seconde (Mpps).
« Le vecteur a été utilisé seul et dans le cadre de campagnes multi-vecteurs, la taille des attaques augmentant lentement », a déclaré Chad Seaman, responsable de l’équipe de recherche sur le renseignement de sécurité (SIRT) chez Akamai, à The Hacker News.
L’idée centrale de la réflexion basée sur TCP est de tirer parti des boîtiers de médiation utilisés pour appliquer les lois de censure et les politiques de filtrage de contenu d’entreprise en envoyant des paquets TCP spécialement conçus pour déclencher une réponse volumétrique.
En effet, dans l’une des attaques observées par la société de sécurité cloud, un seul Paquet SYN avec une charge utile de 33 octets a déclenché une réponse de 2 156 octets, atteignant effectivement un facteur d’amplification de 65x (6 533 %).
« Le principal point à retenir est que le nouveau vecteur commence à voir des abus dans le monde réel dans la nature », a déclaré Seaman. « Généralement, c’est un signal qu’un abus plus répandu d’un vecteur particulier est susceptible de suivre à mesure que les connaissances et la popularité augmentent dans le paysage DDoS et que davantage d’attaquants commencent à créer des outils pour tirer parti du nouveau vecteur. »
« Les défenseurs doivent être conscients que nous sommes passés de la théorie à la pratique, et ils doivent revoir leurs stratégies défensives conformément à ce nouveau vecteur, qu’ils verront peut-être bientôt dans le monde réel », a ajouté Seaman.