ake78 (3D & photo) - Fotolia
Alerte aux attaques DDoS s'appuyant sur le service Memcached
Ces attaques profitent d'un coefficient d'amplification considérable, susceptible de conduire à des attaques de très grande ampleur. Certaines ont déjà été observées.
OVH vient de mettre à jour son guide de sécurisation de serveurs exécutant le service de base de données en mémoire Memcached. Et ce n’est pas un hasard.
De fait, Akamai vient d’indiquer avoir observé une attaque en déni de service distribué (DDoS) par amplification/réflexion, s’appuyant sur ce service pour générer un trafic de 1,3 Tbps. Dans un billet de blog, le fournisseur de services de disponibilité des applications Web indique s’attendre à ce que « ce record ne le reste pas pour longtemps ».
Le fait est que le potentiel d’amplification est considérable. Cloudfare explique ainsi qu’une requête de 15 octets peut générer une réponse de 750 ko, soit un facteur multiplicateur de 51 200. A titre de comparaison, le protocole LDAP, qui peut aussi être utilisé pour des attaques DDoS par amplification, se contente d’un facteur multiplicateur de 55. Les protocoles DNS et NTP offrent des facteurs d’amplification comparables.
De telles attaques DDoS sont rendus possibles par l’exposition des services Memcached sur Internet, sur le port UDP 11211 : ce protocole permet à l’attaque d’envoyer des paquets en faisant passer pour… sa cible qui, elle, recevra donc les réponses et se retrouvera noyée sous celles-ci.
Le moteur de recherche spécialisé Shodan compte plus de 99 000 serveurs à travers le monde susceptibles d’être utilisés à l’insu de leurs exploitants, dans des attaques DDoS, dont plus de 4 500 en France. Cloudflare indique d’ailleurs avoir observé des attaques émanant de près de 580 adresses IP correspondant à des serveurs hébergés chez OVH.
Akamai souligne qu’il est possible, pour les fournisseurs d’infrastructures, de limiter la portée des attaques en « limitant le trafic émanant du port UDP 11211 et en empêchant ce trafic d’entrer et sortir de leurs réseaux. Mais cela prendra du temps ». Cloudflare émet des recommandations à l’intention des utilisateurs de Memcached et des administrateurs systèmes.
Mais de son côté, Arbor Networks estime que ces attaques DDoS « ont initialement – pour une très brève période – été utilisées manuellement par des attaquants compétents ». Pour l’équipementier, elles sont toutefois désormais accessibles à des « attaquants de tous niveaux » par le biais de botnets proposés à la location.