Même si ces serveurs sont équipés de pare-feu bien connus, ils peuvent toujours être supprimés si un attaquant exploite cette technique.
Cela peut paraître incroyable, mais au lieu d'un botnet géant, vous n'avez besoin que d'un ordinateur portable doté d'une connexion Internet pour lancer une puissante attaque DDoS , détruisant d'importants serveurs Internet et les pare-feu existants.
Les chercheurs du TDC Security Operations Center ont découvert une nouvelle technique d'attaque qui permet à des attaquants isolés disposant de ressources limitées (dans ce cas, un ordinateur portable doté d'un réseau haut débit avec une bande passante d'au moins 15 Mbps) de détruire de gros serveurs .
Surnommée attaque BlackNurse ou attaque à faible vitesse « Ping of Death » , cette technique peut être utilisée pour lancer une série d'attaques DoS à faible volume en utilisant l'envoi de paquets ICMP ou de « pings » pour inonder les processeurs du serveur.
Même les serveurs protégés par des pare-feu de Cisco , Palo Alto Networks ou d'autres sociétés sont concernés par cette technique d'attaque.
ICMP (Internet Control Message Protocol) est un protocole utilisé par les routeurs et autres périphériques réseau pour envoyer et recevoir des messages d'erreur.
Ping of Death est une technique d'attaque qui surcharge le réseau en envoyant à la cible des paquets ICMP d'une taille supérieure à 65 536 octets. Étant donné que cette taille est supérieure à la taille autorisée des paquets IP, ils seront divisés en morceaux plus petits et envoyés à l'ordinateur de destination. Lorsqu'il atteint la cible, il sera réassemblé en un paquet complet, en raison de sa taille excessive, cela provoquera un débordement de tampon et un crash.
Selon un rapport technique publié cette semaine, l'attaque BlackNurse est également connue sous un nom plus traditionnel : " ping Flood Attack " et elle est basée sur des requêtes (ou bugs) ICMP Type 3. Destination Unreachable) Code 3 (Port Unreachable error) .
Ces requêtes sont des paquets de réponse, qui retournent généralement au ping source lorsque le port de destination de la cible est inaccessible – ou Unreachable .
1. Voici comment fonctionne la technique d’attaque BlackNurse :
En envoyant un paquet ICMP Type 3 avec un code de 3, un pirate informatique peut provoquer une condition de déni de service (DoS) en surchargeant les processeurs de certains types de pare-feu de serveur, quelle que soit la qualité de la connexion Internet.
Le volume de trafic utilisant la technique BlackNurse est très faible, seulement de 15 Mbps à 18 Mbps (soit environ 40 000 à 50 000 paquets par seconde), surtout si on le compare à l'attaque DDoS record de 1 Tbps ciblant le fournisseur d'accès Internet français OVH en septembre. .
Pendant ce temps, TDC a également déclaré que cet énorme volume ne constitue pas un problème important lorsque le simple fait de maintenir un flux constant de paquets ICMP de 40 000 à 50 000 atteignant le périphérique réseau de la victime peut détruire le périphérique cible.
Alors, quelle est la bonne nouvelle ici ? " Une fois l'attaque survenue, les utilisateurs du réseau local ne pourront plus envoyer ou recevoir de trafic vers et depuis Internet", ont déclaré les chercheurs ."
Cependant, cela signifie que cette technique d'attaque DoS à faible volume reste très efficace car elle inonde non seulement le pare-feu d'accès, mais force également les processeurs à une charge élevée, voire à mettre les serveurs hors ligne si l'attaque a une capacité réseau suffisante.
Les chercheurs affirment que BlackNurse ne doit pas être confondu avec les attaques par inondation de ping qui reposent sur des paquets ICMP Type 8 Code 0 (ou des paquets ping réguliers). Les chercheurs expliquent :
" La technique d'attaque BlackNurse a attiré notre attention car en testant la solution anti-DDoS, même lorsque la vitesse d'accès et le volume de paquets par seconde étaient à des niveaux très faibles, cette attaque peut également arrêter toutes les opérations de nos clients . "
" Cette technique d'attaque peut même être appliquée aux entreprises équipées de pare-feu et de connexions Internet importantes. Nous espérons que les pare-feu professionnels seront capables de gérer ces attaques . "
2. Appareils concernés
La technique d'attaque BlackNurse est efficace avec les produits suivants :
- Appareils de pare-feu Cisco ASA 5506, 5515, 5525 (avec paramètres par défaut).
- Périphériques pare-feu Cisco ASA 5550 (ancienne génération) et 5515-X (dernière génération).
- Routeur Cisco 897 (peut être rétrogradé).
- SonicWall (une mauvaise configuration peut être modifiée et atténuée).
- Quelques appareils inconnus de Palo Alto.
- Routeur Zyxel NWA3560-N (attaque sans fil depuis le LAN interne).
- Dispositif pare-feu Zyxel Zywall USG50.
3. Comment atténuer l’attaque BlackNurse ?
Il y a encore de bonnes nouvelles pour vous : il existe plusieurs façons de lutter contre les attaques de BlackNurse.
TDC recommande un certain nombre d'atténuations et de règles IDS SNORT (système de détection d'intrusion open source SNORT) qui peuvent être utilisées pour détecter les attaques BlackNurse. De plus, les codes PoC (proof-of-concept) ont été postés sur GitHub par les ingénieurs d'OVH, qui peuvent également être utilisés pour tester les appareils de LuckyTemplates face à BlackNurse.
Pour atténuer les attaques BlackNurse sur les pare-feu et autres appareils, TDC recommande aux utilisateurs de créer une liste de sources fiables, autorisées à envoyer et à recevoir des paquets ICMP . Cependant, le meilleur moyen d’atténuer l’attaque consiste simplement à désactiver les paquets ICMP Type 3 Code 3 sur l’interface WAN.
Palo Alto Networks a également publié une déclaration, affirmant que ses appareils n'étaient concernés que dans « des scénarios très spécifiques, pas dans les paramètres par défaut et contre les pratiques courantes ». L'entreprise a également répertorié quelques recommandations à l'intention de ses clients.
Pendant ce temps, Cisco a déclaré qu'il ne considérait pas le comportement décrit dans le rapport comme un problème de sécurité, mais a averti que :
" Nous recommandons à chacun de configurer une licence pour les paquets ICMP de type 3 inaccessibles. Le refus des messages ICMP inaccessibles permet de désactiver le protocole Path MTU Discovery pour les paquets ICMP. Ceux-ci peuvent empêcher IPSec (Internet Protocol Security : un ensemble de protocoles pour sécuriser le processus de transmission des informations ) et accès selon le protocole PPTP (Point-To-Point Tunneling Protocol : protocole utilisé pour transmettre des données entre des réseaux privés virtuels VPN) .
En outre, l'éditeur de logiciels indépendant NETRESEC a également publié une analyse détaillée de BlackNurse intitulée : « La technique d'attaque par inondation des années 90 est de retour ». En plus des avertissements ci-dessus, le SANS Institute a également annoncé un court mémo sur l'attaque BlackNurse, discutant de l'attaque et de ce que les utilisateurs devraient faire pour l'atténuer.
