Plus tôt dans la semaine, nous avions signalé comment les pirates informatiques et les cybercriminels potentiels pouvaient exploiter la façon dont les serveurs DNS gèrent les requêtes récursives pour lancer des attaques DDoS super-amplifiées sur des sites Web par 1620 fois. La vulnérabilité est appelée l’attaque NXNS et a été découverte par deux chercheurs en sécurité israéliens. Maintenant, une équipe de chercheurs chinois a trouvé un nouveau vecteur d’attaque DDoS appelé RangeAmp. RangeAmp manipule les serveurs CDN pour amplifier les attaques DDoS sur les sites Web cibles.

Qu’est-ce que l’attaque RangeAmp DDoS?

Les universitaires chinois ont découvert deux façons dont ils pouvaient abuser des paquets HTTP pour amplifier le trafic Web et faire tomber les sites Web et les réseaux de distribution de contenu (CDN). Ils ont nommé cette technique RangeAmp. RangeAmp exploite les implémentations incorrectes de l’attribut HTTP «Range Requests» d’où le nom.

Les requêtes de plage HTTP sont particulièrement utilisées par les réseaux de distribution cloud (CDN) pour ne demander qu’une partie du site Web qui a été mise à jour par l’utilisateur final. Il s’agit d’une norme HTTP normale qui permet aux CDN de charger le site Web plus rapidement pour les téléspectateurs.

Normalement, lorsque vous tapez une URL pour un site Web sans CDN, il charge le site Web complet, mais lorsque vous tapez une URL pour un site Web à l’aide d’un CDN, il charge uniquement le contenu dynamique tandis que le contenu statique est chargé à partir du cache des CDN. Cela permet non seulement de charger les pages plus rapidement, mais également de réduire la charge du fournisseur d’hébergement du site Web, minimisant ainsi la RAM utilisée.

A lire Aussi  Qu'est-ce que le cloud computing 2019

RangeAmp exploite cette fonctionnalité particulière pour envoyer des requêtes HTTP malformées aux sites Web et provoquer une panne. L’équipe de chercheurs chinois de Weizhong Li, Kaiwen Shen, Run Guo, Baojun Liu, Jia Zhang, Haixin Duan k, Shuang Hao, Xiarun Chen et Yao Wan a découvert qu’ils pouvaient utiliser des requêtes de plage HTTP malformées pour amplifier la façon dont les serveurs Web et les systèmes CDN réagir lorsque vous devez traiter une opération de demande de plage et faire en sorte qu’un site Web cible particulier cesse de fonctionner.

Deux attaques DDoS RangeAmp

L’équipe de chercheurs chinois affirme que l’attaque RangeAmp DDoS peut être exploitée de deux manières:

La première s’appelle une attaque RangeAmp Small Byte Range (SBR). L’attaque RangeAmp SBR se fait en envoyant une demande de plage HTTP mal formée au fournisseur CDN, ce qui amplifie le trafic vers le serveur de destination, ce qui finit par planter le site cible.

Alors que le second s’appelle l’attaque RangeAmp Overlapping Byte Ranges (OBR). Pour exploiter l’attaque RangeAmp OBR, le pirate potentiel envoie une demande de plage HTTP mal formée à un fournisseur CDN comme ci-dessus. Mais dans ce cas, le trafic Web est acheminé via d’autres serveurs CDN. Cette méthode d’attaque amplifie le trafic Web à l’intérieur des réseaux CDN, faisant planter les serveurs CDN et rendant inaccessibles les CDN et de nombreux autres sites de destination.

En substance, la première attaque RangeAmp SBR DDoS utilise le CDN pour envoyer des demandes mal formées au site Web victime et la faire tomber tandis que dans l’attaque RangeAmp OBR DDoS, le pirate utilise le CDN pour faire tomber le CDN lui-même et provoquer un effet domino en cascade.

A lire Aussi  Des communications sécurisées par e-mail pour protéger la chaîne d’approvisionnement des cyberattaques 2019

L’équipe chinoise a testé les attaques RangeAmp contre 13 fournisseurs CDN et a constaté que tous étaient vulnérables à l’attaque RangeAmp SBR, et six étaient également vulnérables à la variante OBR lorsqu’elle était utilisée dans certaines combinaisons. L’équipe chinoise a découvert que les attaques RangeAmp SBR étaient les plus faciles à effectuer et pouvaient être utilisées de manière dévastatrice par les cybercriminels pour amplifier le trafic.

Ils ont noté qu’ils pouvaient amplifier le trafic DDoS de 724 à 43 330 fois le trafic d’origine en utilisant l’attaque RangeAmp SBR alors qu’ils pouvaient amplifier le trafic DDoS de 7500 fois en utilisant la méthode d’attaque RangeAmp OBR DDoS. L’attaque RangeAmp OBR DDoS était un peu difficile à exploiter et avait besoin d’un niveau plus élevé de connaissances en réseau pour être implémentée.

L’équipe a informé les 13 fournisseurs CDN, parmi lesquels 12 ont répondu positivement et ont soit déployé, soit déclaré qu’ils prévoyaient de déployer des mises à jour de leur implémentation de la requête de plage HTTP. Les fournisseurs de CDN qui ont répondu positivement sont Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, G-Core Labs, Huawei Cloud, KeyCDN et Tencent Cloud.

Le document sera présenté en juillet au  Conférence virtuelle IEEE / IFIP DSN 2020, où c’est l’un des trois articles nominés pour le prix du meilleur article.