OVHcloud a atténué une attaque DDoS record associée à un botnet d’équipements réseau MikroTik
Au début de l'année 2024, OVHcloud a bloqué une attaque par déni de service distribué (DDoS) record avec un taux phénoménale de 840 millions de paquets par seconde (Mpps) ! Voici ce qu'il faut savoir !
Un nouveau rapport publié par OVHcloud met en lumière une forte augmentation des attaques DDoS depuis le début de l'année 2023. Le fournisseur de services Cloud français explique que les attaques DDoS sont de plus en plus fréquentes, mais aussi plus fortes en termes d'intensité. Le taux de paquets par seconde est fréquemment supérieur à 100 Mpps.
Sur les 18 derniers mois, OVHcloud évoque également une attaque record mitigée le 25 mai 2024, avec un débit d'environ 2,5 Tbps. Peu de temps avant, OVHcloud a également mitigé une autre attaque record au niveau du taux de paquets par seconde : "Nos infrastructures ont dû atténuer plusieurs attaques de plus de 500 Mpps au début de l'année 2024, dont une atteignant 620 Mpps. En avril 2024, nous avons même atténué une attaque DDoS record atteignant ~840 Mpps, juste au-dessus du précédent record rapporté par Akamai.", peut-on lire dans le rapport.
Ici, OVHcloud fait référence à l'attaque DDoS mitigée par Akamai en juin 2020, avec un taux de paquets par seconde de 809 Mpps. Le fournisseur de services Cloud explique que cette attaque, constituée à 99% de paquets TCP ACK, a été effectuée à partir d'environ 5 000 adresses IP sources différentes. "Alors que l'attaque était répartie dans le monde entier, 2/3 des paquets totaux provenaient de seulement 4 points d'accès, tous situés aux États-Unis, dont 3 sur la côte ouest.", précise le rapport.
Des équipements MikroTik impliqués dans cette attaque DDoS
D'après les enquêtes menées par OVHcloud, de nombreux appareils de la marque MikroTik ont été utilisées dans le cadre de ces attaques DDoS. Il s'agit d'équipements réseaux compromis par les pirates, notamment appartenant à la gamme MikroTik Cloud Core Router (CCR), comme les modèles CCR1036-8G-2S+ et CCR1072-1G-8S+.
Une analyse de l'Internet a permis à OVHcloud d'identifier près de 100 000 équipements MikroTik exposés directement sur Internet. Un accès à l'interface du routeur depuis Internet peut permettre aux cybercriminels de compromettre l'appareil via l'exploitation de vulnérabilités connues. À condition que l'administrateur n'ait pas fait le nécessaire pour mettre à jour son routeur pour le protéger des dernières vulnérabilités connues et corrigées par MikroTik.
Ensuite, les pirates tirent sûrement profit de la fonction "Bandwidth test" du système RouterOS de MikroTik pour générer un grand nombre de paquets à destination de leur cible. Certaines modèles MikroTik sont des cœurs de réseau et un seul équipement est capable de générer plusieurs millions de paquets par seconde. Ainsi, ils augmentent considérablement la puissance de feu du botnet... Ce qui a permis la mise en œuvre de cette attaque record.
Enfin, OVHcloud précise avoir contacté MikroTik au sujet de ses dernières découvertes, mais pour le moment, aucune réponse n'a été reçue.
Bonjour,
A la fin du second paragraphe, est ce 100 millions de Mpps ou bien 100 Mpps tout court ?
Merci beaucoup pour votre travail,
Bonjour,
C’est 100 Mpps tout court, erreur de ma part. Je vais corriger, merci.