Les booters DDoS abusent désormais des serveurs DTLS pour amplifier les attaques

  • Principal
  • Nouvelles
  • Les booters DDoS abusent désormais des serveurs DTLS pour amplifier les attaques

Les booters DDoS abusent désormais des serveurs DTLS pour amplifier les attaques

Les services DDoS loués exploitent désormais activement les serveurs Datagram Transport Layer Security (D/TLS) non configurés ou obsolètes pour amplifier les attaques par déni de service distribué (DDoS).

DTLS est une version basée sur UDP du protocole TLS (Transport Layer Security) qui empêche l'interception et la falsification dans les applications et services sensibles aux retards.

Déjà abusé dans des attaques DDoS à un ou plusieurs vecteurs

Selon des rapports publiés en décembre, une attaque DDOS a utilisé DTLS pour amplifier le trafic des appliances Citrix ADC vulnérables utilisant des configurations DTLS sans mécanisme anti-usurpation « HelloClientVerify » conçu pour bloquer de tels abus.

Les attaques DDoS utilisant DTLS peuvent atteindre un facteur d'amplification de 35 selon le fournisseur allemand de protection DDoS Lien11 ou un taux d'amplification de 37,34: 1 basé sur les informations fournies par la société d'atténuation DDoS Netscout .

Citrix a publié un correctif pour supprimer le vecteur d'amplification sur les appliances NetScaler ADC concernées en janvier, en ajoutant un paramètre « HelloVerifyRequest » pour supprimer le vecteur d'attaque.

Deux mois plus tard, cependant, Netscout a déclaré que plus de 4 200 serveurs DTLS sont toujours disponibles sur Internet et sont mûrs pour les abus dans les attaques DDoS par réflexion/amplification.

Netscout a observé des attaques DDoS d'amplification DTLS à vecteur unique jusqu'à environ 44,6 Gbit/s et des attaques multivecteurs jusqu'à ~206,9 Gbit/s.

Adopté par les services de démarrage DDoS

Les plates-formes de location DDoS, également appelées facteurs de stress ou booters, utilisent désormais également DTLS comme vecteur d'amplification qui le met entre les mains d'attaquants moins sophistiqués.

Les services Booter sont utilisés par des menaces, des farceurs ou des hacktivistes sans le temps d'investir ou les compétences nécessaires pour construire leur propre infrastructure DDoS.

Ils louent des services stressants pour lancer des attaques DDoS qui déclenchent un déni de service qui plante généralement des serveurs ou des sites spécifiques ou provoque divers niveaux de perturbation.

'Comme d'habitude avec les derniers vecteurs d'attaque DDoS, il semble qu'après une période initiale de déploiement par des attaquants avancés ayant accès à une infrastructure d'attaque DDoS sur mesure, la réflexion/amplification D/TLS a été militarisée et ajoutée. - surnommé DDoS-for-Hire 'booter/stresser', ce qui le rend abordable pour la population d'attaquants », a ajouté Netscout.

Pour atténuer ces attaques, les administrateurs peuvent désactiver les services DTLS inutiles sur les serveurs connectés à Internet ou les appliquer/configurer pour utiliser le mécanisme anti-usurpation HelloVerifyRequest afin de supprimer le vecteur d'amplification DTLS.

DHS-CISA fournit également guide sur la façon de détecter les attaques DDoS et les mesures à prendre en cas de risque d'attaques DDoS.

Qu'est-ce que tu penses?