Les produits VPN puissants peuvent être abusés pour des attaques DDoS à grande échelle

Les opérateurs de botnet abusent des serveurs VPN du fournisseur VPN Powerhouse Management afin de faire rebondir et d’amplifier le trafic indésirable dans le cadre des attaques DDoS.

Ce nouveau vecteur DDoS a été découvert et documenté par un chercheur en sécurité qui se connecte sous le nom de Phenomite, qui a partagé ses découvertes avec ZDNet la semaine dernière.

Le chercheur a déclaré que la cause première de ce nouveau vecteur DDoS est un service encore à identifier qui fonctionne sur le port UDP 20811 sur les serveurs VPN Powerhouse.

Phenomite dit que les attaquants peuvent envoyer une requête ping à ce port avec une requête d’un octet, et le service répondra souvent avec des paquets jusqu’à 40 fois la taille du paquet d’origine.

Étant donné que ces paquets sont basés sur UDP, ils peuvent également être modifiés pour contenir une adresse IP de retour incorrecte. Cela signifie qu’un attaquant peut envoyer un paquet UDP d’un octet à un serveur VPN Powerhouse, qui l’amplifie ensuite et l’envoie à l’adresse IP d’une victime d’une attaque DDoS – dans ce que les chercheurs en sécurité appellent une attaque DDoS réfléchie / amplifiée.

Attaques déjà détectées dans la nature

Phenomite et ZDNet ont contacté Powerhouse Management pour informer l’entreprise du comportement de ses produits, en cherchant à s’assurer qu’un correctif est déployé sur ses serveurs, ce qui empêcherait son infrastructure VPN d’être abusée lors de futures attaques DDoS.

Cependant, la société n’a répondu à aucun de nos e-mails.

En outre, nous avons également appris aujourd’hui que les acteurs de la menace ont également découvert ce vecteur d’attaque DDoS, qu’ils ont déjà armé dans des attaques du monde réel, dont certaines ont atteint jusqu’à 22 Gbps, ont déclaré des sources à ZDNet.

Environ 1520 serveurs VPN Powerhouse prêts à être abusés

Selon une analyse effectuée par Phenomite la semaine dernière, il existe actuellement environ 1 520 serveurs Powerhouse qui exposent leur port UDP 20811, ce qui signifie qu’ils peuvent être abusés par des groupes de menaces DDoS.

Alors que les serveurs sont situés partout dans le monde, les systèmes les plus vulnérables semblent être « au Royaume-Uni, à Vienne et à Hong Kong », a déclaré le chercheur à ZDNet.

Jusqu’à ce que Powerhouse corrige cette fuite, le chercheur a recommandé aux entreprises de bloquer tout trafic provenant des réseaux du fournisseur VPN (AS21926 et AS22363) ou de bloquer tout trafic où «srcport» est 20811.

La deuxième solution est recommandée, car elle ne bloque pas le trafic VPN légitime de tous les utilisateurs de Powerhouse VPN, mais uniquement les paquets «réfléchis» qui font probablement partie d’une attaque DDoS.

La découverte de Phenomite vient s’ajouter à une longue liste de nouveaux vecteurs d’amplification DDoS qui ont été révélés au cours des trois derniers mois. Les divulgations précédentes incluaient notamment:

Sources :

• malware.news