BlackNurse s’attaque aux gros routeurs en déni de service à bas volume

Alors que la mode semble être aux attaques en déni de service distribué (DDoS) de grande ampleur, comme on a récemment pu l’observer sur Dyn, mais également OVH et le site Web de Brian Krebs, des chercheurs alertent sur BlackNurse, une nouvelle attaque qui permettrait de faire tomber pare-feu et routeurs avec moins d’une vingtaine de megabits par seconde de paquets ICMP malicieux.

Cette attaque s’appuie sur le détournement des messages type 3 code 3 « port non accessible » du protocole ICMP, et semble fonctionner contre de nombreux routeurs Cisco, ainsi que des équipements réseau signés Zyxel, SonicWall, et Palo Alto Networks. Les chercheurs Lenny Hansson et Kenneth Jørgensen, qui ont découvert la vulnérabilité, assurent que l’attaque peut faire tomber les routeurs Cisco ASA 55xx avec un trafic de seulement 4 Mbps : « selon nous, les pare-feu Cisco ASA 55xx sont ceux qui les plus gros problèmes. Même si vous interdisez tout le trafic ICMP vers eux, ils souffriront de l’attaque avec seulement 4 Mbps ».

Les deux chercheurs de TDC estiment que contrer BlackNurse pourrait être relativement simple : configurer une liste blanche de « sources de confiance pour lesquelles ICMP est autorisé. Désactiver ICMP Type 3 Code 3 sur l’interface WAN peut bloquer l’attaque aisément. C’est le meilleur remède que nous connaissons à ce stade ».

L’origine du problème est encore floue. Mais les chercheurs estiment qu’il provient de la manière dont les équipements gèrent les paquets : « pour l’heure, nous n’avons vu cela qu’avec des pare-feu matériels, où les paquets sont envoyés directement au CPU », ont indiqué les chercheurs à SearchSecurity.

Alors, ces paquets ICMP solliciteraient-ils trop le processeur ? Peut-être, selon Johannes Ullrich, de l’institut SANS, qui explique dans un billet de blog que, selon lui, qu’il « est probable que le pare-feu cherche à réaliser une analyse stateful de ces paquets ». Et ceux-ci « intègrent, dans leurs premiers octets, le paquet qui a provoqué l’erreur. Un pare-feu peut utiliser ces données pour déterminer si l’erreur est causée par un paquet légitime qui a quitté au préalable le réseau. Cette analyse peut consommer des ressources significatives ».

De son côté, Cisco souligne que le problème n’est pas spécifique à un équipementier et que « l’attaque n’exploite pas une vulnérabilité de sécurité ». En outre, il relève que « en cas d’attaque, les équipements ASA mentionnés continuent d’appliquer les règles de sécurité configurées. Il n’y a pas de compromission ». Et d’ajouter travailler avec ses clients pour s’assurer qu’ils mettent effectivement à profit les protections intégrées contre les dénis de service.

Palo Alto Networks a pour sa publié une note d’information dans laquelle il assure que BlackNurse n’affecte ses équipements que dans « des scénarios très spécifiques », éloignés de la configuration standard, et « contevenant aux pratiques de référence ». La situation est comparable du côté de SonicWall qui précise que ces équipements ne sont pas affectés lorsque la protection contre les floods ping est activée. A noter enfin que les équipements basés sur iptables ne sont pas touchés. 

Adapté de l’anglais.