Archives par mot-clé : cdn

CDN et DDoS : Ne pas mettre tous les œufs dans le même panier

Les réseaux de diffusion de contenu, les Content Delivery Network (CDN) ont été conçus pour optimiser les performances en matière de distribution de contenus sur Internet et pour optimiser les coûts de bande passante pour celui qui produit ce contenu, afin de faire face à des demandes de plus en plus nombreuses, et à une volumétrie de données à fournir, en forte croissance. Nous entendons souvent l’argument que la protection contre les attaques DDoS fournie par un CDN est LA solution permettant de se protéger : Voyons sur quoi se base cet argument.

En simplifiant, un CDN est constitué d’un ensemble de serveurs interconnectés, largement distribués du point de vue géographique et mais aussi logique au sein du maillage de l’Internet. Le CDN utilise ces serveurs distribués pour cacher le contenu de leurs clients et le diffuser à leurs utilisateurs. Une utilisation astucieuse du routage permet de s’appuyer sur les « caches » les plus proches de chaque client, permettant une livraison plus rapide du contenu, et d’éviter ainsi de consommer des ressources – y compris la bande passante – du serveur d’origine hébergeant le contenu original.

Quand un client demande une première fois une ressource – une image ou une page web, le CDN doit chercher ce contenu auprès du serveur d’origine pour servir le client. Par contre, à partir de ce moment, la ressource reste « en cache », distribuée au sein du CDN, afin de servir toute nouvelle demande, par n’importe quel client, à partir de ces caches.

Les CDN cachent typiquement le contenu statique, qui ne change pas, comme justement les images d’un site web. Cependant, les CDN ne peuvent pas ou sont plus limités en leur capacité de cacher du contenu dynamique, comme les informations concernant les stocks et les commandes d’un site de vente.

Le contenu dynamique typiquement hébergé par le site d’origine. Le site d’origine sollicité, non pas par ses utilisateurs, mais par le CDN, d’une part pour du contenu statique pas encore caché et d’autre part pour le contenu dynamique, qui ne peut pas être caché.

CDN ET PROTECTION CONTRE LES ATTAQUES DDOS

De par sa nature, le CDN dispose des mécanismes qui peuvent être utiles en face d’attaques par déni de service distribuée. Par exemple, un CDN dispose souvent de ressources importantes en termes de capacité réseau et de serveurs, lui permettant souvent tout simplement d’absorber une quantité plus importante de requêtes que le serveur d’origine.

De plus, par les mêmes mécanismes de distribution et de routage qui lui permettent de distribuer la charge des utilisateurs, les attaques distribuées amenées à viser non plus une cible unique, mais une cible distribuée en fonction de la localisation de chaque source d’attaque.

« THE DEVIL IS IN THE DETAILS »

Par contre, malgré ces couches de protection utiles, le fonctionnement même d’un CDN peut ouvrir de nouveaux vecteurs d’attaque ou rendre la défense du serveur d’origine plus

difficile. Par exemple, si une attaque, faisant usage d’un botnet, sollicite un site web pour des ressources non-existantes, et donc non-cachées, cela peut amener le CDN à solliciter à son tour le serveur d’origine à répétition pour ces ressources et provoquer une condition de déni de service pour le serveur d’origine.

En plus, l’attaque vue par le serveur d’origine semble provenir du CDN lui même ! Dans cette situation, il peut être difficile au serveur d’origine de se protéger car le CDN est en même temps l’origine de l’attaque et des requêtes légitimes: Des approches simples s’appuyant sur le blacklisting des sources au niveau du serveur d’origine ne peuvent plus être utilisées dans ce cas.

D’autre part, il ne faut pas oublier que les protections fournies par le CDN ne couvrent que le contenu caché. Le serveur d’origine, ainsi que plus généralement, l’entreprise à qui le site appartient, aura probablement besoin d’une connectivité fonctionnelle. Au-delà du serveur d’origine qui doit pouvoir fournir le contenu non-caché et dynamique pour le CDN, le service aura peut-être besoin d’interagir avec d’autres sites, l’entreprise de pouvoir envoyer et réceptionner des emails, ses équipes d’accéder aux services de Voix sur IP ou de se connecter à Internet d’une manière générale pour accéder à des services cloud comme Google GSuite ou Microsoft Office 365.

Tout cela nécessite que des services on-site ou à minima l’accès Internet de l’entreprise, qui ne peuvent pas être protégés par un CDN, continuent à fonctionner.

Protections de type volumétriques

De plus, en fonction du CDN, les protections fournies limitées aux protections de type volumétriques, alors que des attaques applicatives plus sophistiquées risquent de traverser le CDN et d’atteindre le site d’origine. En somme, la situation est souvent bien plus complexe qu’imaginée au premier abord.

Premièrement, il est important de bien comprendre le fonctionnement, pas seulement de son site Internet, mais de son entreprise dans sa globalité et d’effectuer une analyse de risque pour identifier les différentes menaces. Ensuite, selon les risques impliquant la disponibilité et/ou la qualité de service des communications, des services réseau et/ou des applications, il peut être utile de s’appuyer sur des fonctionnalités de protection fournies par son CDN – potentiellement plus capables pour des grosses attaques volumétriques – ou utiliser des protections plutôt de type « On-Premise », potentiellement plus précises et capables pour des attaques applicatives.

Souvent une protection optimale implique une protection hybride, combinant la précision et rapidité d’une solution « On-Premise », avec des capacités volumétriques suffisamment élevés proposées par un fournisseur de service de mitigation.

Dans certains cas le CDN peut-être un composant adapté, dans d’autres vous aurez besoin d’une capacité de protection volumétrique importante capable aussi à protéger votre site local. (Par Jouni Viinikka, Directeur R&D chez 6cure ; Frédéric Coiffier, Ingénieur Développement Logiciel chez 6cure)

Le botnet XOR DDoS lance une vingtaine d’attaques par jour

Le nouvel avis d’alerte établit le profil de plusieurs campagnes d’attaques récentes lancées à partir du botnet XOR DDoS. Le botnet XOR DDoS s’est perfectionné, et est à présent capable de déclencher des méga-attaques DDoS à plus de 150 Gbit/s. 90 % des attaques par déni de service distribué, exécutées par le botnet XOR DDoS, ont ciblé des organisations en Asie.

Akamai Technologies, Inc, leader mondial des services de réseau de diffusion de contenu (CDN), publie une nouvelle alerte de cybersécurité faisant état d’une menace révélée par son pôle SIRT (Security Intelligence Response Team). Des pirates informatiques ont créé un botnet capable de mener des campagnes d’attaques par déni de service distribué (DDoS) à plus de 150 Gbit/s au moyen du malware XOR DDoS, un cheval de Troie servant à détourner des systèmes sous Linux.

Qu’est-ce que XOR DDoS ?

Le malware XOR DDoS est un cheval de Troie qui infecte les systèmes Linux, en leur demandant de lancer des attaques DDoS sur demande, pilotées par un pirate à distance. Au départ, le pirate s’empare d’une machine Linux via des attaques par force brute pour découvrir le mot de passe donnant accès aux services SSH (Secure Shell). Une fois cet identifiant obtenu, il se sert des privilèges « root » pour exécuter un script shell Bash qui télécharge et lance le binaire malveillant.

« En un an, le botnet XOR DDoS s’est perfectionné et peut désormais être utilisé pour lancer de gigantesques attaques DDoS », souligne Stuart Scholly, à DataSecurityBreach.fr, vice-président et directeur général de la division Sécurité d’Akamai. « XOR DDoS illustre parfaitement le changement de tactique des pirates qui créent des botnets à partir de systèmes Linux infectés pour lancer des attaques DDoS. Ce phénomène se produit beaucoup plus fréquemment qu’auparavant, lorsque les machines sous Windows étaient les principales cibles des malwares DDoS. »

Attaques par déni de service XOR DDoS

Les travaux du pôle SIRT d’Akamai ont établi que la bande passante des attaques DDoS, déclenchées par le réseau de machines zombies XOR DDoS, était variable, se situant entre moins de 10 Gbit/s et plus de 150 Gbit/s, soit un volume d’attaques extrêmement conséquent. Le secteur des jeux a été le plus souvent ciblé, talonné par l’éducation. Ce botnet attaque jusqu’à 20 cibles par jour, situées pour 90 % d’entre elles en Asie. Le profil de plusieurs des attaques de sa provenance, neutralisées par Akamai, correspond à celles documentées en date des 22 et 23 août dans l’avis. L’une d’elles a frôlé 179 Gbit/s, tandis que l’autre avoisinait 109 Gbit/s. Deux vecteurs d’attaques ont été observés : SYN- et DNS-floods.

Si l’adresse IP du bot est parfois usurpée, elle ne l’est pas systématiquement. Les attaques observées dans le cadre des campagnes DDoS menées à l’encontre des clients d’Akamai, étaient un mélange de trafic usurpé et non-usurpé. Les adresses IP usurpées sont générées de façon à ce qu’elles semblent émaner du même espace d’adressage (blocs /24 ou /16) que celles de l’hôte infecté. Une technique d’usurpation, consistant à modifier uniquement le troisième ou le quatrième octet de l’adresse IP, empêche les fournisseurs d’accès à Internet (FAI) de bloquer le trafic usurpé sur les réseaux protégés par le mécanisme uRPF (Unicast Reverse Path Forwarding) de vérification du chemin inverse.

Neutralisation des attaques XOR DDoS

Des caractéristiques statiques identifiables ont été observées, notamment la valeur TTL de départ, la taille de fenêtre TCP et les options d’en-tête TCP. Ces signatures de charge utile peuvent contribuer à la neutralisation des attaques par déni de service distribué. Elles sont consultables dans l’avis d’alerte. Par ailleurs, des filtres tcpdump sont prévus pour faire face au trafic d’attaques SYN-flood généré par ce botnet.

Détection et éradication du malware XOR DDoS

La présence du botnet XOR DDoS peut être détectée de deux manières. Sur un réseau, il faut repérer les communications entre un bot, ou zombie, et son canal de commande et contrôle (C2) en faisant appel à la règle Snort exposée dans l’avis. Sur un hôte Linux, il faut se servir de la règle YARA qui opère une mise en correspondance des chaînes relevées dans le binaire.

Le malware XOR DDoS est persistant : il exécute des processus qui réinstalleront les fichiers malveillants même s’ils sont supprimés. Par conséquent, son éradication relève d’un processus en quatre étapes pour lesquels plusieurs scripts sont spécifiés dans l’avis :

Localiser des fichiers malveillants dans deux répertoires.
Identifier des processus qui favorisent la persistance du phénomène.
Eradiquer les processus malveillants.
Supprimer les fichiers malveillants.

Akamai continue à surveiller les campagnes exploitant régulièrement le malware XOR DDoS pour déclencher des attaques par déni de service distribué. Pour en savoir plus sur cette menace, sur la suppression de ce malware et sur les techniques de neutralisation DDoS, un exemplaire gratuit de l’avis est téléchargeable à l’adresse www.stateoftheinternet.com/xorddos.

État des lieux de l’Internet du 2ème trimestre 2015

Akamai Technologies, Inc., leader mondial des services de réseau de diffusion de contenu (CDN), annonce la disponibilité de son rapport de sécurité « État les lieux de l’Internet » du 2ème trimestre 2015. Il livre une analyse et un éclairage sur les cyber-menaces qui pèsent sur la sécurité cloud à l’échelle mondiale.

« La menace des attaques par déni de service distribué (DDoS) et applicatives web ne cesse de s’intensifier chaque trimestre », précise John Summers, vice-président, Cloud Security Business Unit d’Akamai. « Les acteurs malveillants brouillent perpétuellement la donne en changeant de tactique, en dénichant de nouvelles vulnérabilités, voire en remettant au goût du jour des techniques considérées comme obsolètes. En analysant les attaques observées sur nos réseaux, nous sommes en mesure d’inventorier les menaces et tendances naissantes et de communiquer au public les informations indispensables à la consolidation de leurs réseaux, sites web et applications, et à l’amélioration de leurs profils de sécurité cloud. »

Dans ce rapport sont analysés deux vecteurs d’attaques applicatives web supplémentaires, mais aussi examiné les menaces représentées par le trafic TOR (routage en oignon) et même mis au jour certaines vulnérabilités dans des modules externes WordPress tiers, en cours de publication dans le dictionnaire CVE », ajoute-t-il. « Plus les menaces de cybersécurité sont documentées, mieux la défense d’une entreprise peut être opérée.

Panorama de l’activité des attaques DDoS
Sur les trois derniers trimestres, il apparaît que le nombre d’attaques DDoS double d’une année sur l’autre. Si, au cours de ce trimestre, les pirates ont privilégié les attaques de moindre débit mais de plus longue durée, toujours est-il que le nombre de méga-attaques ne cesse de croître. Au 2ème trimestre 2015, 12 attaques à un débit supérieur à 100 Gb/s ont été recensées et 5 autres culminant à plus de 50 Mp/s (millions de paquets par seconde). Très peu d’entreprises sont capables de résister par elles-mêmes à des attaques de cette ampleur.

L’attaque DDoS la plus massive au 2ème trimestre 2015, mesurée à plus de 240 Gb/s, a duré plus de 13 heures. Le débit crête est généralement limité à une fenêtre d’une à deux heures. Sur cette même période, l’une des attaques présentant le débit de paquets le plus élevé jamais encore enregistré sur le réseau Prolexic Routed a également été déclenchée (à un pic de 214 Mp/s). Ce volume d’attaques est capable de paralyser des routeurs de niveau 1 comme ceux utilisés par les fournisseurs d’accès Internet.

L’activité des attaques DDoS a établi un nouveau record au 2ème trimestre 2015, en hausse de 132 % à trimestre comparable un an auparavant, et de 7 % par rapport au 1er trimestre 2015. Si le débit crête et le volume maximal moyens des attaques ont légèrement progressé au 2ème trimestre 2015 comparativement au trimestre précédent, ils demeurent nettement en-deçà des valeurs maximales relevées au deuxième trimestre 2014.

SYN et SSDP (Simple Service Discovery Protocol) sont les vecteurs les plus couramment utilisés ce trimestre, chacun d’eux représentant approximativement 16 % du trafic d’attaques DDoS. Eu égard à la prolifération d’équipements électroniques de loisirs non sécurisés, connectés à Internet via le protocole UPuP (Universal Plug & Play), leur utilisation comme réflecteurs SSDP demeure attrayante. Quasiment inexistant il y a encore un an, le SSDP s’est imposé comme l’un des principaux vecteurs d’attaques ces trois derniers trimestres. Quant à la technique par saturation de type « SYN flood », elle continue à dominer les attaques volumétriques et ce, depuis la première édition du rapport de sécurité parue au troisième trimestre 2011.

Le secteur des jeux en ligne demeure une cible privilégiée depuis le 2ème trimestre 2014, systématiquement visé par environ 35 % des attaques DDoS. Au cours des deux derniers trimestres, la majorité du trafic d’attaques ne provenant pas d’adresses usurpées a continué à émaner de la Chine, pays qui figure dans le trio de tête depuis la parution du premier rapport au troisième trimestre 2011.

Activité des attaques applicatives web
Des statistiques sur les attaques applicatives web ont commencé à être publiées par Akamai au premier trimestre 2015. Ce trimestre, deux autres vecteurs d’attaques ont été analysés : les failles Shellshock et XSS (cross-site scripting).

Shellshock, vulnérabilité logicielle présente dans Bash mise au jour en septembre 2014, a été exploitée dans 49 % des attaques applicatives web ce trimestre. En réalité, 95 % des attaques Shellshock ont visé un seul client appartenant au secteur des services financiers, dans le cadre d’une campagne qui a duré plusieurs semaines en début de trimestre. Généralement menée sur HTTPS, cette campagne a rééquilibré l’utilisation des protocoles HTTPS et HTTP. Au premier trimestre 2015 en effet, seulement 9 % des attaques avaient été dirigées sur HTTPS, contre 56 % ce trimestre.

Par ailleurs, les attaques par injection SQL (SQLi) représentent 26 % de l’ensemble des attaques, soit une progression de plus de 75% des alertes de ce type rien qu’au deuxième trimestre. À l’inverse, les attaques de type LFI (inclusion de fichier local) s’inscrivent en net recul. Principal vecteur d’attaques applicatives web au premier trimestre 2015, LFI n’est plus à l’origine que de 18 % des alertes au deuxième trimestre 2015. L’inclusion de fichier distant (RFI), l’injection PHP (PHPi), l’injection de commandes (CMDi), l’injection OGNL Java (JAVAi) et le chargement de fichier malveillant (MFU) comptent, pour leur part, pour 7 % des attaques applicatives web.

Comme au premier trimestre 2015, ce sont les secteurs des services financiers et du commerce et de la grande distribution qui ont été les plus fréquemment touchés par les attaques.

La menace des modules externes et thèmes WordPress tiers
WordPress, plate-forme la plus en vogue dans le monde pour la création de sites web et de blogues, est une cible de choix pour des pirates qui s’attachent à exploiter des centaines de vulnérabilités connues pour créer des botnets, disséminer des logiciels malveillants et lancer des campagnes DDoS.

Le code des modules externes tiers est très peu, voire nullement, contrôlé. Afin de mieux cerner les menaces, Akamai a testé plus de 1 300 modules externes et thèmes parmi les plus répandus. Résultat : 25 d’entre eux présentaient au moins une vulnérabilité nouvelle. Dans certains cas, ils en comprenaient même plusieurs puisque 49 exploits potentiels ont été relevés au total. Une liste exhaustive des vulnérabilités mises au jour figure dans le rapport, accompagnée de recommandations pour sécuriser les installations WordPress.

Les forces et les faiblesses de TOR
Le projet TOR (The Onion Router, pour « routage en oignon ») fait en sorte que le nœud d’entrée ne soit pas identique au nœud de sortie, garantissant ainsi l’anonymat des utilisateurs. Bien que nombre des utilisations de TOR soient légitimes, son anonymat présente de l’intérêt pour les acteurs malveillants. Pour évaluer les risques liés à l’autorisation de trafic TOR à destination de sites web, Akamai a analysé ce trafic web à l’échelle de sa base de clients Kona sur une période de sept jours.

L’analyse a révélé que 99 % des attaques émanaient d’adresses IP non-TOR. Néanmoins, une requête sur 380 issues de nœuds de sortie TOR était malveillante, contre une sur 11 500 seulement en provenance d’adresses IP non-TOR. Ceci dit, le blocage de trafic TOR pourrait se révéler préjudiciable sur le plan économique. Toutefois, les requêtes HTTP légitimes vers les pages d’e-commerce correspondantes font état de taux de conversion équivalents entre nœuds de sortie TOR et adresses IP non-TOR. Le rapport.