Le 09/07/2024 à 18:00, Laurent-Charles FABRE a écrit :
Bonjour la liste,
l'article doit exister en français mais je suis tombé sur la version
Britonne
https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/
De votre compréhension, c'est un gros trou dans RouteurOS ou une misconfig
basique avec MdP troué ?
SNMP n'est pas activé par défaut sur mikrotik:
v6: https://wiki.mikrotik.com/wiki/Manual:SNMP
v7: https://help.mikrotik.com/docs/display/ROS/SNMP
Il y a de (très) fortes chances que ce soit un SNMP qui soit ouvert.
La mode est d'utiliser de l'amplification (reflexion), SNMP se prête
bien à ce jeu, à partir d'une requête de 68 octets, la réponse peut
aller jusqu'à 30 Ko, j'ai lu qu'en moyenne il était observé un rapport
de 1:25 en faveur de l'attaquant. (si l'attaquant dispose de 100 Mbps de
bande passante, il va pouvoir envoyer 2,5 Gbps de réponses SNMP sur l'IP
ciblée)
Pour en savoir plus: https://www.bortzmeyer.org/attaques-reflexion.html
Si l'attaque est faite via SNMP qui donc est ouvert, c'est alors tout
simple de faire une requête pour afficher le modèle et sa version.
Quant aux routeurs dont le SNMP n'est pas ouvert en public, il reste
possible que ces routeurs aient une ACL qui limite l'accès à SNMP au LAN
mais si les machines derrières sont compromises, il est aisé de faire de
l'amplification SNMP et renvoyer le trafic sur le WAN, en plus comme
c'est le routeur qui émet le trafic ça bypass les règles de firewall car
en général le trafic émit par le firewall est toujours autorisés (au
moins sur les mikrotik, chaîne output en default policy accept versus
forward dont la bonne pratique doit être default deny).
Par contre, j'ai un doute avec le contenu du dernier paragraphe "Let’s
do some math" car ça m'étonnerait qu'un mikrotik (ou tout autre
équipement) ai un service SNMP qui soit capable de sortir autant de pps
qu'en routage pur. (Multi-threadé ? Sur tous les core ? Avec 1 seule IP
de sortie ?)
Haaaa on n'avait pas ce genre de problème avec des SUP720 ou des ISR
avec des CPU anémiques ! C'était mieux avant !
Maintenant avec des tp-link, mikrotik et compagnie qui ont des CPU
surpuissants (comme nos téléphones), tout est possible !
Par contre, j'en retire au moins ça :
- les CCR poussent quand même pas mal
Le rapport perf/prix est imbattable !
- ils en vendent pas mal en chine...
Mais que fait le great firewall chinois ?? Depuis internet vers la chine
ça à l'air efficace mais en sortie tout est permis !
Jérôme
--
Jérôme Marteaux
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
