Les proxy DNS des routeurs, une menace pour les FAI
Selon Nominum, 24 millions de routeurs domestiques intègrent des proxy DNS ouverts à tous les vents, susceptibles d’être détournés pour conduire des attaques en déni de service distribué.
La majorité des routeurs domestiques embarquent un serveur DNS agissant comme un cache local soulageant les serveurs DNS des fournisseurs d’accès à Internet. Las, selon Nominum, nombre d’entre eux seraient ouverts à tous les vents, rien moins que 24 millions en tout. De quoi permettre leur détournement par des acteurs malveillants cherchant à conduire des attaques en déni de service distribué (DDoS). Selon Nominum, plus de 5,3 millions de ces routeurs ont déjà été utilisés à ces fins en février dernier. Et, à l’occasion d’une telle attaque observée en janvier dernier, « plus de 70 % du trafic DNS d’un fournisseur d’accès a été associé à une amplification DNS. »
Certes, Nominum utilise ces chiffres pour promouvoir sa solution de lutte contre les attaques de ce type. Mais ce n’est pas le premier à alerter sur le détournement d’appareils connectés pour conduire des attaques en déni de service distribué.
En mai 2013, Prolexic avait ainsi alerté sur le risque d’attaques en DDoS « avec réflexion et amplification » devenues selon lui « de plus en plus populaires du fait de la croissance du nombre d’équipements et de serveurs réseau vulnérables. » Et de pointer certains protocoles comme NTP pour les serveurs de temps, ou SNMP pour l’administration qui « ont été écrits dans une perspective de fonctionnalité et pas de sécurité. »
Plus tôt, fin janvier 2013, HD Moore, directeur technique de Rapid7 et créateur du kit de hacking Metasploit tirait la sonnette d’alarme sur le protocole UPnP, utilisé notamment pour simplifier l’utilisation d’appareils connectés au réseau local.
En décembre dernier, Infoblox, lançant une nouvelle offre de protection des services DNS, citait l’analyste Lawrence Oran, du cabinet Gartner : « le niveau des enquêtes portant sur des attaques DDoS a quadruplé entre septembre 2012 et septembre 2013. Face à l’intensification des attaques DDoS sur les applications de leurs réseaux, les RSSI et responsables de la sécurité des entreprises vont devoir trouver de nouvelles solutions proactives pour se protéger des risques d’indisponibilité. »