Akamai met en garde : ‘Faire du neuf avec du vieux’

L’entreprise met en lumière via PLXsert (Prolexic Security Engineering & Research Team) le fait que pour des attaques par réflexion et par amplification, les individus malveillants passent par un protocole de routage révolu, le RIPv1 (Routing Information Protocol) lancé en 1988…

Stuart Scholly, vice-président senior et directeur général du pôle Sécurité d’Akamai explique : «Si cette résurgence de RIPv1après plus d’une année d’inactivité est inattendue, il est manifeste que les pirates mettent à profit leur familiarité avec ce vecteur d’attaques DDoS par réflexion que l’on pensait abandonné. Il est relativement simple, pour un pirate, de mettre à profit le comportement de RIPv1 pour lancer une attaque DDoS par réflexion :via une requête broadcast classique, la requête malveillante peut être envoyée en mode unicast directement au réflecteur. Il suffit ensuite au pirate d’usurper l’adresse IP source pour l’associer à la cible visée – et de causer ainsi des dommages au réseau ».

Les études du PLXert révèlent que les pirates ont une préférence pour les routeurs avec une base de données RIPv1 possédant une multitude de routes. Ces attaques ont été déclenchées par des requêtes qui ont donné lieu à de multiples charges utiles de 504 octets. Une requête RIPv1 ne contient que 24 octets de charge utile, ce qui veut dire que les pirates parviennent à inonder la cible visée avec de vastes quantités de trafic non-désiré par une simple requête.

Pour passer outre ce type d’incident, Akamai recommande d’upgrader vers du RIPv2 ou une version ultérieure qui favorise l’authentification mais aussi d’utiliser une liste de contrôle d’accès pour restreindre l’accès du port source UDP 520 à partir d’internet.