Tomasz Zajda - Fotolia
DDoS : Portmapper, nouveau vecteur d’amplification
Le service de référencement des services supportant les appels à distance semble désormais utilisé comme vecteur d’amplification des attaques en déni de service distribués.
De nombreux protocoles tout à fait légitimes sont régulièrement utilisés pour conduire des attaques en déni de service distribué (DDoS), avec amplification, avec de saturer la bande passante des cibles.
En mai 2013, Prolexic alertait : « les attaques en déni de service avec réflexion et amplification distribuées sont de plus en plus populaires du fait de la croissance du nombre d’équipements et de serveurs réseau vulnérables ». Pour lui, le danger venait notamment de certains protocoles, comme NTP, pour les serveurs de temps, ou SNMP, pour l’administration de systèmes, « qui ont été écrits dans une perspective de fonctionnalité et pas de sécurité ».
Ces propos sonnaient alors comme un écho à ceux de HD Moore, directeur technique de Rapid7 et créateur du kit de hacking Metasploit. Fin janvier 2013, celui-ci tirait en particulier la sonnette d’alarme sur le protocole UPnP utilisé notamment pour simplifier l’utilisation d’appareils connectés sur un réseau local.
Plus tard, en avril 2014, Nominum s’inquiétait de la menace potentielle des proxy DNS intégrés aux routeurs domestiques, des proxy dont beaucoup seraient ouverts à tous les vents et donc détournables à des fins d’attaque DDoS.
Aujourd’hui, Level 3 fait état de la découverte d’un nouveau vecteur : Portmapper. Dans un billet de blog, l’opérateur le décrit de manière sommaire comme « un service d’annuaire pour RPC », les procédures d’invocation à distance. Son rôle est donc de simplifier la découverte de services sur le réseau par des clients.
Level 3 affirme avoir commencé à observer des DDoS exploitant portmapper, « avec le plus fort impact sur des organisations du 10 au 12 août. Ces attaques ont visé seulement quelques secteurs, principalement ceux du jeu, de l’hébergement et de l’infrastructure Internet ».
Et de recommander de fermer Portmapper, ainsi que de nombreux services RPC à Internet pour en limiter la disponibilité à l’infrastructure interne. Ou bien de filtrer les adresses IP autorisées à invoquer ces services.