Le protocole WSD, un amplificateur des attaques DDoS

Le Monde Informatique | 23 septembre 2019

Parce qu’ils sont mal configurés pour écouter et répondre aux requêtes du protocole WS-Discovery sur Internet, des centaines de milliers de dispositifs peuvent servir à amplifier des attaques par déni de service (DDoS), à des taux d’amplification pouvant atteindre les 15 300 %. Mais certaines mesures d’atténuation sont possibles.

Le protocole WSD, un amplificateur des attaques DDoS

Basé sur le protocole UDP (User Datagram Protocol), Web Services Dynamic Discovery (WS-Discovery ou WSD) est utilisé depuis plus d’une décennie par les imprimantes, les appareils photo et d’autres types d’appareils, mais aussi par diverses fonctions Windows depuis Windows Vista, pour trouver automatiquement les services Web disponibles sur les réseaux. À l’origine, la plupart des protocoles automatisés de découverte et de configuration des services, notamment l’UPnP (Universal Plug and Play), le SSDP (Simple Service Discovery Protocol), le Simple Network Management Protocol (SNMP) et WSD ont été conçus pour être utilisés sur les réseaux locaux. Mais de nombreux périphériques sont livrés avec des implémentations non sécurisées qui exposent ces protocoles à l’Internet, permettant à des attaquants de les exploiter pour mener des attaques de réflexion et d’amplification DDoS.

Qu’est-ce que la réflexion DDoS ?

Contrairement au protocole TCP, le protocole UDP n’effectue aucune validation de la source IP, si bien que, par défaut, la plupart des protocoles basés sur l’UDP sont vulnérables à l’usurpation d’adresse IP. En retour, cela permet aux attaquants de cacher la source du trafic DDoS en le « reflétant » à travers des machines pouvant répondre à ce genre de protocole. Voici comment fonctionne la réflexion DDoS : à partir de machines sous leur contrôle, les attaquants envoient des requêtes à d’autres serveurs via un protocole basé sur l’UDP et définissent l’adresse IP source à l’intérieur des paquets comme étant l’adresse IP de la victime visée. Les serveurs interrogés envoient alors leurs réponses à la victime, au lieu de les renvoyer aux machines des attaquants.

La réflexion DDoS est particulièrement puissante lorsque les réponses générées sont supérieures aux requêtes d’origine, car elle permet aux attaquants d’amplifier leur bande passante disponible. Par exemple, un attaquant qui contrôle plus de dix machines peut envoyer des requêtes à 100 périphériques avec un service UDP vulnérable exposé à Internet. En retour, ces dispositifs envoient des réponses importantes à la victime en raison de l’usurpation d’adresse IP, de sorte que la victime reçoit un plus grand nombre de paquets malveillants de 100 machines neutres au lieu des dix contrôlées par l’attaquant.

Le WSD, une menace sérieuse

Dans un nouveau rapport publié la semaine dernière, des chercheurs d’Akamai ont alerté sur l’usage actuel par des attaquants du WSD comme technique d’amplification DDoS pour intensifier leurs attaques. Les serveurs d’un acteur de l’industrie du jeu, client d’Akamai, ont été saturés par une « flood attack » du protocole Web Services Dynamic Discovery (WSD) culminant à 35 Gb/s. « D’autres recherches sur la mise en œuvre du protocole WSD sur des terminaux connectés soulèvent de graves inquiétudes, puisque le SIRT (Security Intelligence Response Team) a pu détecter des taux d’amplification allant jusqu’à 15 300 % de la taille originale des octets », ont déclaré les chercheurs d’Akamai dans leur rapport. « Si bien que, en terme facteur d’amplification, l’exploitation du WSD se situe en quatrième position des attaques DDoS ».

En étudiant le protocole WSD et diverses implémentations présentes dans les équipements, le SIRT d’Akamai a compris comment les pirates arrivaient à réduire de manière considérable leur charge utile initiale pour déclencher des réponses avec des facteurs d’amplification aussi énormes. Par exemple, la sonde d’un message WSD standard est de 783 octets, mais les chercheurs d’Akamai ont réussi à la réduire à 170 octets et à déclencher une réponse WSD valide de 3 445 octets. Et ce n’est pas tout. Il s’avère qu’il est plus rentable pour les attaquants d’envoyer des charges utiles volontairement malformées pour déclencher des erreurs WSD. Ces réponses d’erreur ne sont pas d’aussi grande taille que les réponses valides envoyées par les sondes, mais des méthodes permettent d’augmenter leur taille et les requêtes qui les déclenchent sont significativement plus petites que les sondes valides – de l’ordre de 29, voire même de 18 octets - pour certaines implémentations vulnérables que les chercheurs ont trouvé dans 2151 dispositifs environ d’un certain constructeur.

Même si le nombre de dispositifs pouvant être utilisés à mauvais escient avec une attaque de 18 octets reste assez restreint, le nombre de terminaux exposés pouvant répondre à des charges utiles de 29 octets est beaucoup plus important. Dans un tel scénario, un attaquant disposant d’une connexion de 100 Mb/s pourrait envoyer 420 000 requêtes par seconde, la charge utile de 29 octets déclencherait des réponses de 2 599 octets, l’ensemble pourrait générer une attaque de 8,73 Gbits à un taux d’amplification de 8 900 %. « Avec 10 nœuds, l’attaque peut atteindre 87 Gbits/s », ont mis en garde les chercheurs d’Akamai. Même avec des sondes valides et des facteurs d’amplification plus faibles, la technique WSD représente toujours une menace sérieuse. En effet, Akamai a décompté 802 115 appareils connectés à Internet répondant aux sondes WSD avec un facteur d’amplification moyen de 193 %. Parmi ces appareils, les chercheurs ont trouvé beaucoup de caméras de vidéosurveillance et d’enregistreurs vidéo numériques.

Des atténuations possibles

Les entreprises peuvent bloquer le port source UDP 3702 dans leurs passerelles et leur pare-feu pour empêcher le trafic WSD non sollicité d’atteindre leurs serveurs. Cependant, le trafic peut toujours encombrer la bande passante disponible sur leur routeur. Ainsi, l’atténuation complète nécessite l’application de listes de contrôle d’accès (ACL) pour bloquer le trafic provenant d’appareils utilisant le WSD et potentiellement exposés. Les fournisseurs offrant des services d’atténuation DDoS peuvent maintenir ce genre de listes, comme ils le font pour les dispositifs exploitant les protocoles DNS, NTP, SNMP, UPnP et d’autres services vulnérables à la réflexion et à l’amplification DDoS. « Ce problème affectant le WSD est bien connu », ont déclaré les chercheurs d’Akamai. « Le WSD a été conçu pour les réseaux LAN, mais pas pour Internet. Quand les fabricants ont sorti du matériel intégrant le protocole Web Services Dynamic Discovery et que les utilisateurs l’ont déployé sur Internet, ils ont introduit par inadvertance un nouveau vecteur de réflexion DDoS rapidement exploité pour mener des attaques. La seule chose à faire désormais, c’est d’attendre et espérer que ces appareils, dont la durée de vie est de 10 à 15 ans, seront remplacés par des modèles plus sécurisés », ont-ils déclaré.

Article rédigé par

Lucian Constantin, CSO (adaptation Jean Elyan)

En savoir plus …

intéressant, merci

le message doit faire au moins 20 caractères alors je comble (dans la vie il y a ceux qui ont un pistolet chargé et ceux qui creuse, toi tu creuses !)