Sécurité : Des chercheurs danois ont mis à jour une nouvelle attaque permettant de causer un déni de service sur plusieurs types de firewall commercialisés par Palo Alto ou Cisco. Contrairement aux classiques DDoS, cette attaque baptisée Blacknurse ne nécessite pas plus de 15Mbps de bande passante pour affecter le système visé.

Si les attaques DDoS à haut volume de trafic font fréquemment les gros titres, d’autres attaques nettement moins visibles peuvent causer des problèmes tout aussi fâcheux pour les utilisateurs. Contrairement aux attaques DDoS classiques qui visent à saturer le lien connectant la machine visée au reste du réseau, ces attaques lentes cherchent avant tout à épuiser les ressources de la machine cible. On connaissait déjà l’attaque slowloris, mais les chercheurs de l’opérateur danois TDC présentent une nouvelle attaque du même type, baptisée BlackNurse.

BlackNurse permet de s’attaquer à plusieurs firewall. Celle-ci s’appuie sur l’envoi de paquets ICMP modifiés, qui indiquent un port introuvable et une destination introuvable. Ce type de paquets est généralement envoyé suite à un échec de connexion, mais l’attaquant peut tout à fait envoyer un feu nourri de ce type de trafic vers le routeur visé. Un défaut dans le code source des firewall affectés rend le traitement de ce type de paquets particulièrement gourmand, et les machines touchées par ce problème ne tardent pas à montrer leurs limites. Les chercheurs de TDC ont ainsi montré qu’il suffisait d’envoyer environ 15 à 18Mbps de ces paquets en direction du firewall pour perturber son fonctionnement et bloquer l’accès Internet. Un déni de service facile à mettre en place avec un simple laptop, une méthode bien plus accessible qu'un botnet d'objets connectés.



publicité

Sous la ligne de flottaison



L’équipe de chercheurs à l’origine de la découverte explique avoir détecté à plusieurs reprises ce type d’attaques visant certains de leurs clients. « Entre la mi-2014 et mi-2016, nous avons constaté plus de 95 attaques exploitant le protocole ICMP visant nos clients. Ce type d’attaque est généralement utilisé par les attaquants » expliquent les chercheurs, qui ajoutent s’être intéressés à BlackNurse en particulier, car celle-ci déjouait les protections anti-DDoS déployées par leurs SOC. Les chercheurs expliquent avoir détecté plus d’1,7 million d’appareils disposant d’une connectivité ICMP, ce qui laisse entendre que de nombreuses machines seraient vulnérables à ces attaques.

Palo Alto explique de son côté que le problème n’en est pas un pour ses utilisateurs et les invite à revoir leur configuration pour prévenir une telle cyberattaque, un discours tenu également par Cisco qui n’envisage pas de publier un correctif pour ce problème.

En l’absence de correctif, la solution la plus simple pour contrecarrer l’attaque serait selon les chercheurs de désactiver purement et simplement le trafic ICMP entrant sur les machines concernées. Les chercheurs ont également publié des règles pour SNORT afin de détecter ce type de trafic malveillant.

Ajout le 16/11 : La liste des firewall potentiellement touchés par cette attaque a été publiée par la société Netresec, qui a travaillé sur la vulnérabilité en partenariat avec TDC. La plupart d'entre eux proposent des outils de protection visant à limiter le trafic ICMP et qui permettent ainsi de se protéger de l'attaque. C'est notamment ce que conseille Palo Alto dans son communiqué. Les utilisateurs de firewalls SonicWall, Palo Alto, Cisco et Zyxel peuvent ainsi se pencher sur leur configuration afin de vérifier que ces protections sont bien activées pour se protéger des attaques. La plupart sont néanmoins configurés correctement par défaut et ne sont donc pas affectés.



L’attaque rappelle la fameuse attaque du « ping of death » qui visait notamment les machines sous Windows 98 et permettait à un utilisateur de provoquer un déni de service sur la machine via le simple envoi de paquets mal formés. Blacknurse s’inscrit dans la famille des attaques lentes, généralement moins visibles, mais tout aussi problématiques pour les administrateurs.