Qu’est-ce qui vient juste de se passer? Plus tôt cette semaine, les ingénieurs de Cloudflare ont identifié l’une des plus grandes attaques par déni de service distribué (DDOS) jamais tentées. L’attaque, lancée contre une plate-forme de crypto-monnaie non identifiée, a été identifiée et atténuée en moins de 20 secondes. Les individus à l’origine de l’acte ont inondé le réseau de plus de 15 millions de demandes.
Outre la taille de l’attaque, l’utilisation de HTTPS plutôt que des requêtes HTTP classiques a encore compliqué le problème : le protocole sécurisé entraîne une surcharge de ressources supplémentaire en raison de la nature gourmande en ressources de calcul de la requête HTTPS sécurisée. Selon Cloudflare, le botnet responsable de la réalisation de l’attaque représentait 6 000 bots de 112 pays à travers le monde.
On pense que l’attaque a exploité les serveurs de fournisseurs d’hébergement exécutant des applications Java vulnérables. Ces serveurs étaient probablement non corrigés ou non mis à jour et sensibles à CVE-2022-21449, Signatures psychiques en Java. Cette vulnérabilité permet aux attaquants d’utiliser l’algorithme de signature numérique à courbe elliptique (ECDSA) pour falsifier des certificats SSL et d’autres informations basées sur l’authentification afin d’obtenir un accès indésirable.
La forte augmentation des analyses de trafic de Cloudflare montre à quelle vitesse l’attaque a pu s’intensifier. A 22:21:15 la plateforme enregistrait entre 500 000 et 1 million de requêtes. En cinq secondes, ce nombre est passé à près de 3 millions de requêtes. À ce stade, l’intensité de l’attaque s’est intensifiée, générant environ 15,3 millions de requêtes dans les cinq secondes suivantes. Quelques secondes plus tard, Cloudflare a pu atténuer l’attaque, ramenant les modèles de trafic aux niveaux attendus.
Selon les données de Cloudflare, près de 15 % des attaques provenaient d’Indonésie. La Fédération de Russie, le Brésil, l’Inde, la Colombie et les États-Unis représentaient chacun environ 5 % des points d’origine. Les ingénieurs et experts en sécurité de Cloudflare ont conclu que les attaques provenaient de plus de 1 300 réseaux différents dans l’ensemble des 112 pays identifiés. Ils ont également été surpris de constater que, contrairement à d’autres attaques, bon nombre de ces attaques provenaient de centres de données plutôt que de réseaux résidentiels typiques basés sur des FAI.
Oracle a depuis publié un avis de mise à jour de correctif critique pour aider les utilisateurs à atténuer toute vulnérabilité potentielle. Les administrateurs de systèmes potentiellement vulnérables doivent examiner ces informations pour s’assurer que tous les risques liés à Java sont minimisés.
La taille de l’attaque, ainsi que les ressources appliquées et la puissance requise pour exécuter l’attaque basée sur HTTPS, sont des signes clairs que les pirates continuent de renforcer leurs armes dans ce qui semble être une course aux armements sans fin. Rester à jour sur les derniers correctifs de sécurité et recommandations peut aider à minimiser la possibilité d’être victime de ces attaques et d’attaques similaires à l’avenir.
Crédit d’image : modèle de trafic et répartition des emplacements de Cloudflare