Akamai Technologies, Inc., un acteur actif du Web a publié une alerte de sécurité à l’attention des entreprises et fournisseurs de SaaS sur les attaques utilisant Joomla avec un plug-in Google Maps vulnérable comme relais DDoS.
Akamai Technologies, Inc. a publié, via Prolexic Security Engineering & Response Team (PLXsert), en partenariat avec le R.A.I.D (Division de Recherche, Analyse et Intelligence) de PhishLabs, une nouvelle alerte. Elle attire l’attention des entreprises et fournisseurs de SaaS sur les attaques qui utilisent des serveurs Joomla avec un plug-in Google Maps vulnérable, elles se servent de cette plate-forme pour lancer des attaques par déni de service distribué (DDoS).
« Les failles des applications web hébergées par des fournisseurs de SaaS continuent de servir de munitions aux cybercriminels. Aujourd’hui, ils ciblent une faille du plugin Joomla pour laquelle ils ont créé une nouveau type d’attaques DDoS et de nouveaux outils à la ’location’ », avertit Stuart Scholly, senior vice president et general manager de la Security Business Unit chez Akamai. « Il s’agit là d’une nouvelle vulnérabilité des applications web dans un océan de failles. Et nous n’en sommes qu’au début. Les entreprises doivent disposer de plans de protection DDoS afin de limiter le trafic de déni de service provenant de millions de serveurs Cloud contenant des SaaS et qui peuvent servir pour des attaques DDoS ».
Attaques DDoS via une faille du plugin Google Maps Joomla
Une faille identifiée au sein du plugin Google Maps pour Joomla permet d’utiliser ce plugin comme relais actif pour des attaques DDoS, en se servant des serveurs visés comme d’un proxy. Les pirates masquent la source des requêtes, ce qui a pour effet d’envoyer les résultats depuis le proxy à la cible du déni de service. La source réelle de l’attaque reste indétectable, puisqu’elle semble provenir des serveurs Joomla.
Grâce à la coopération du R.A.I.D de PhishLabs, PLXsert a identifié le trafic DDoS issu des multiples sites Joomla, en pointant les installations vulnérables utilisées massivement pour des afflux de GET en miroir. L’observation du trafic et des données des attaques suggère que la charge est issue de sites connus pour être des DDoS-for-Hire.
PLXsert a pu identifier sur Internet plus de 150 000 réflecteurs Joomla potentiels. Bien que de nombreux serveurs aient été corrigés, reconfigurés, verrouillés ou aient désinstallé le plugin, nombreux sont ceux qui restent vulnérables à ce type d’attaques.
Détails d’une attaque DDoS limitée
En novembre, PLXsert a limité les effets d’une attaque DDoS de ce type pour le compte d’un client d’Akamai. La majorité des principales adresses IP ayant participé à l’attaque provenait d’Allemagne. Les mêmes adresses IP ayant participé à l’attaque avaient déjà participé à des attaques DDoS contre d’autres clients Akamai dans les secteurs de l’hôtellerie, du divertissement et des biens de consommation.
Une limitation DDoS multicouches assure une protection contre les attaques DDoS par amplification
Actuellement, de nombreux types d’attaques DDoS par amplification sont utilisés. Au 4ème trimestre 2014, PLXsert d’Akamai a observé que 39 % du trafic total des attaques DDoS utilisaient des techniques par amplification. Chacune des attaques DDoS par amplification s’appuie sur une faille d’un protocole ou d’une application Internet, permettant ainsi aux hackers d’amplifier le trafic malveillant vers un serveur ou un terminal tiers, en masquant leur identité et en amplifiant le volume de l’attaque au cours du processus.
La limitation d’une attaque DDoS basée sur le cloud peut combattre ce problème afin de protéger les entreprises contre le trafic malveillant. La sécurité en périphérie et les centres d’interception stoppent les attaques de trafic DDoS bien avant qu’elles n’affectent le site web ou le centre de données d’un client.