Au cours d’une campagne de déni de service distribué ciblant les organisations des secteurs des services financiers, d’Internet et des télécommunications, les attaques volumétriques ont culminé à 3,8 térabits par seconde, les plus importantes enregistrées publiquement à ce jour. L’assaut consistait en un barrage “d’un mois” de plus de 100 attaques DDoS hyper-volumétriques inondant l’infrastructure réseau de données indésirables.
Dans une attaque DDoS volumétrique, la cible est submergée par de grandes quantités de données au point qu’elles consomment la bande passante ou épuisent les ressources des applications et des appareils, laissant les utilisateurs légitimes sans accès.
Routeurs Asus, appareils MikroTik, DVR et serveurs Web
De nombreuses attaques visant l’infrastructure réseau de la cible (couches réseau et de transport L3/4) dépassaient deux milliards de paquets par seconde (pps) et trois térabits par seconde (Tbit / s).
Selon des chercheurs de la société d’infrastructure Internet Cloudflare, les appareils infectés étaient répartis dans le monde entier, mais beaucoup d’entre eux étaient situés en Russie, au Vietnam, aux États-Unis, au Brésil et en Espagne.
L’auteur de la menace à l’origine de la campagne a exploité plusieurs types d’appareils compromis, notamment un grand nombre de routeurs domestiques Asus, de systèmes Mikrotik, de DVR et de serveurs Web.
Cloudflare a atténué toutes les attaques DDoS de manière autonome et a noté que celle culminant à 3,8 Tbit / s avait duré 65 secondes.
Les chercheurs affirment que le réseau de périphériques malveillants utilisait principalement le protocole UDP (User Datagram Protocol) sur un port fixe, un protocole avec des transferts de données rapides mais qui ne nécessite pas l’établissement d’une connexion formelle.
Auparavant, Microsoft détenait le record de défense contre la plus grande attaque DDoS volumétrique de 3,47 Tbit / s, qui ciblait un client Azure en Asie.
En règle générale, les auteurs de menaces lançant des attaques DDoS s’appuient sur de vastes réseaux d’appareils infectés (botnets) ou cherchent des moyens d’amplifier les données livrées sur la cible, ce qui nécessite un plus petit nombre de systèmes.
Dans un rapport publié cette semaine, la société de cloud computing Akamai a confirmé que les vulnérabilités CUPS récemment divulguées dans Linux pourraient être un vecteur viable d’attaques DDoS.
Après avoir analysé l’Internet public à la recherche de systèmes vulnérables à CUPS, Akamai a découvert que plus de 58 000 d’entre eux étaient exposés à des attaques DDoS en exploitant le problème de sécurité Linux.
D’autres tests ont révélé que des centaines de serveurs CUPS vulnérables » reviendront à plusieurs reprises après avoir reçu les requêtes initiales, certains d’entre eux semblant le faire sans fin en réponse aux réponses HTTP/404.”
Ces serveurs ont envoyé des milliers de requêtes aux systèmes de test d’Akamai, montrant un potentiel significatif d’amplification grâce à l’exploitation des failles CUPS.