Une attaque DDoS, considérée comme la plus grande jamais divulguée, a visé les serveurs du site de développement de logiciel GitHub à 17:21 UTC mercredi dernier.
Des attaques DDoS importantes sont devenues des événements plutôt occasionnels ces dernières années, mais les statistiques concernant cette dernière étaient remarquables, avec un pic atteignant 1350 gigabits/seconde, et d’autres atteignant 400 gigabits/seconde.
La dernière attaque DDoS qui avait marqué les esprits avait ciblé le fournisseur DNS Dyn en 2016, dont le pic d’activité avait été estimé à 1000 gigabits/seconde, et avait causé des perturbations visibles au niveau de services tels que Netflix, Twitter et, curieusement, GitHub.
Selon GitHub Engineering, la perturbation de la semaine dernière a duré neuf minutes.
À 17 h 21 UTC, notre système de surveillance du réseau a détecté une anomalie dans le rapport entre le trafic d’entrée et de sortie, et en a informé un ingénieur par téléphone et d’autres via notre système de chat. … Etant donné l’augmentation de la bande passante du trafic entrant à plus de 100 Gbps au niveau de l’une de nos installations, il a été décidé de rediriger le trafic vers Akamai.
Bonne nouvelle, la protection contre cette attaque DDoS a fonctionné comme prévu, mais le point intéressant dans cette dernière n’est pas sa taille, mais plutôt ce qui a permis d’atteindre cette taille hors norme.
L’attaque a exploité l’amplification, une technique que nous avons déjà vue lors de cyberattaques massives de type DDoS, et cette fois-ci en touchant une cible appelée Memcached.
Memcached est une technologie populaire conçue pour accélérer l’accès aux sites utilisant de grandes bases de données d’applications web, en mettant en cache des données dans la RAM afin d’obtenir un accès rapide.
Par défaut, il autorise des connexions externes non authentifiées sur le port UDP 11211, signifiant ainsi que des cybercriminels ont pu générer de gros volumes de trafic en envoyant simplement aux serveurs restés, dans cet état “faible”, une simple commande “stats” à partir d’une adresse IP falsifiée.
Les réponses de Memcached à la commande “stats” se sont avérées énormes, a déclaré GitHub :
Le facteur d’amplification a atteint 51 000, signifiant que pour chaque octet envoyé par le hacker, un maximum de 51 Ko a été envoyé vers la cible désignée.
Cette attaque DDoS a donc largement surclassé les attaques par amplification précédentes telles que celle de 2013 sur Spamhaus visant le DNS, et qui avait multiplié les réponses par 50, jusqu’à 300 gigabits/seconde.
Un an plus tard, c’était au tour du protocole NTP d’être utilisé dans une attaque de 400 gigabits/seconde visant la société d’hébergement française OVH, avec un taux d’amplification de 500.
Les compagnies de mitigation semblent avoir détecté qu’une activité suspecte était en préparation, expliquant pourquoi la division Prolexic d’Akamai l’a interrompue si rapidement.
Heureusement, il n’est pas si difficile d’arrêter l’utilisation des pare-feux de périmètre pour bloquer le UDP au niveau du port désigné, ou bien de désactiver complètement le UDP sur les serveurs Memcached.
Et pourtant, comme pour les attaques par amplification précédentes, le problème sous-jacent est une infrastructure encore une fois mal sécurisée. En effet, les estimations du nombre de serveurs Memcached vulnérables atteignent environ 100 000, et presque tous étant localisés aux États-Unis et en Chine.
Akamai a averti :
Akamai a constaté une nette augmentation des scans de serveurs Memcached ouverts depuis la divulgation initiale.
Et :
En raison des capacités de réplication de Memcached, il est fort probable que cette attaque “record”, ne reste pas la plus importante bien longtemps.
Il faudra à présent persuader les propriétaires de tous ces serveurs Memcached vulnérables de traiter leurs systèmes vis-à-vis de cette vulnérabilité, ou bien de prendre le risque d’une intervention menée par les FAI les plus importants.
Peut-être qu’au cours de cette attaque DDoS, les cybercriminels testaient un nouveau concept. Il a même été suggéré qu’il s’agissait d’une attaque de ransomwares, car il semblait y avoir une demande intégrée concernant la monnaie virtuelle Monero.
Le meilleur espoir reste probablement la rapidité avec laquelle l’attaque a été interceptée, mettant ainsi les “bad guys” hors-jeu !
Billet inspiré de World’s largest DDoS attack thwarted in minutes, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.