
OVHcloud, fournisseur mondial de services cloud et l’un des plus importants du genre en Europe, a déclaré avoir atténué une attaque par déni de service distribué (DDoS) record plus tôt cette année qui a atteint un taux de paquets sans précédent de 840 millions de paquets par seconde (Mpps).
La société indique qu’elle a constaté une tendance générale à l’augmentation de la taille des attaques à partir de 2023, celles dépassant 1 Tbit / s devenant plus fréquentes et devenant des occurrences hebdomadaires et presque quotidiennes en 2024.
De multiples attaques ont maintenu des débits binaires et des débits de paquets élevés sur de longues périodes au cours des 18 derniers mois, le débit binaire le plus élevé enregistré par OVHcloud au cours de cette période étant de 2,5 Tbit / s le 25 mai 2024.

L’analyse de certaines de ces attaques a révélé l’utilisation intensive de périphériques réseau centraux, en particulier des modèles Mikrotik, ce qui rend les attaques plus percutantes et difficiles à détecter et à arrêter.
Des attaques DDoS record
Plus tôt cette année, OVHcloud a dû atténuer une attaque massive de débit de paquets qui a atteint 840 Mpps, dépassant le précédent détenteur du record, une attaque DDoS de 809 Mpps ciblant une banque européenne, qu’Akamai a atténuée en juin 2020.
« Notre infrastructure a dû atténuer plusieurs attaques de plus de 500 Mpps début 2024, dont une culminant à 620 Mpps », explique OVHcloud.
« En avril 2024, nous avons même atténué une attaque DDoS record atteignant ~840 Mpps, juste au-dessus du précédent record rapporté par Akamai. »

Le fournisseur de services cloud a noté que l’attaque TCP ACK provenait de 5 000 adresses IP sources. Les deux tiers des paquets ont été acheminés via seulement quatre Points de présence( POP), tous aux États-Unis et trois sur la côte Ouest.
La capacité de l’attaquant à concentrer ce trafic massif sur un spectre relativement étroit d’infrastructures Internet rend ces tentatives DDoS plus redoutables et plus difficiles à atténuer.
De puissants Mikrotiks blâmés
OVHcloud affirme que bon nombre des attaques à haut débit de paquets enregistrées, y compris l’attaque record d’avril, proviennent d’appareils compromis Mirkotik Cloud Core Router (CCR) conçus pour un réseau haute performance.
L’entreprise a identifié, en particulier, les modèles compromis CCR1036-8G – 2S + et CCR1072-1G-8S+, qui sont utilisés comme cœurs de réseau de petite à moyenne taille.
Bon nombre de ces appareils ont exposé leur interface en ligne, exécutant des micrologiciels obsolètes et les rendant vulnérables aux attaques exploitant des exploits pour des vulnérabilités connues.
L’entreprise de cloud computing émet l’hypothèse que les attaquants pourraient utiliser la fonction de « Test de bande passante » des routeurs de MikroTik, conçue pour les tests de résistance du débit du réseau, pour générer des débits de paquets élevés.
OVHcloud a trouvé près de 100 000 appareils Mikrotik accessibles / exploitables sur Internet, constituant de nombreuses cibles potentielles pour les acteurs DDoS.

En raison de la puissance de traitement élevée des appareils MikroTik, dotés de processeurs à 36 cœurs, même si un petit pourcentage de ces 100 ko était compromis, cela pourrait entraîner un botnet capable de générer des milliards de paquets par seconde.
OVH cloud a calculé que le détournement de 1% des modèles exposés dans un botnet pourrait donner aux attaquants suffisamment de puissance de feu pour lancer des attaques, atteignant 2,28 milliards de paquets par seconde (Gpp).
Les appareils MikroTik ont de nouveau été utilisés pour créer de puissants botnets dans le passé, avec un cas notable étant le botnet Mēris.
Malgré les multiples avertissements du fournisseur aux utilisateurs de mettre à niveau RouterOS vers une version sécurisée, de nombreux appareils sont restés vulnérables aux attaques pendant des mois, risquant d’être enrôlés dans des essaims DDoS.
OVH cloud dit avoir informé MikroTik de ses dernières découvertes, mais ils n’ont pas reçu de réponse.