Le 9/07/24 à 22:09, Jérôme Marteaux a écrit :
Le 09/07/2024 à 18:00, Laurent-Charles FABRE a écrit :
Bonjour la liste,
l'article doit exister en français mais je suis tombé sur la version
Britonne
https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/
De votre compréhension, c'est un gros trou dans RouteurOS ou une
misconfig
basique avec MdP troué ?
SNMP n'est pas activé par défaut sur mikrotik:
v6: https://wiki.mikrotik.com/wiki/Manual:SNMP
v7: https://help.mikrotik.com/docs/display/ROS/SNMP
Il y a de (très) fortes chances que ce soit un SNMP qui soit ouvert.
La mode est d'utiliser de l'amplification (reflexion), SNMP se prête
bien à ce jeu, à partir d'une requête de 68 octets, la réponse peut
aller jusqu'à 30 Ko, j'ai lu qu'en moyenne il était observé un rapport
de 1:25 en faveur de l'attaquant. (si l'attaquant dispose de 100 Mbps
de bande passante, il va pouvoir envoyer 2,5 Gbps de réponses SNMP sur
l'IP ciblée)
Pour en savoir plus: https://www.bortzmeyer.org/attaques-reflexion.html
Si l'attaque est faite via SNMP qui donc est ouvert, c'est alors tout
simple de faire une requête pour afficher le modèle et sa version.
Quant aux routeurs dont le SNMP n'est pas ouvert en public, il reste
possible que ces routeurs aient une ACL qui limite l'accès à SNMP au
LAN mais si les machines derrières sont compromises, il est aisé de
faire de l'amplification SNMP et renvoyer le trafic sur le WAN, en
plus comme c'est le routeur qui émet le trafic ça bypass les règles de
firewall car en général le trafic émit par le firewall est toujours
autorisés (au moins sur les mikrotik, chaîne output en default policy
accept versus forward dont la bonne pratique doit être default deny).
Par contre, j'ai un doute avec le contenu du dernier paragraphe "Let’s
do some math" car ça m'étonnerait qu'un mikrotik (ou tout autre
équipement) ai un service SNMP qui soit capable de sortir autant de
pps qu'en routage pur. (Multi-threadé ? Sur tous les core ? Avec 1
seule IP de sortie ?)
Haaaa on n'avait pas ce genre de problème avec des SUP720 ou des ISR
avec des CPU anémiques ! C'était mieux avant !
Maintenant avec des tp-link, mikrotik et compagnie qui ont des CPU
surpuissants (comme nos téléphones), tout est possible !
Par contre, j'en retire au moins ça :
- les CCR poussent quand même pas mal
Le rapport perf/prix est imbattable !
- ils en vendent pas mal en chine...
Mais que fait le great firewall chinois ?? Depuis internet vers la
chine ça à l'air efficace mais en sortie tout est permis !
C'est une arme comme une autre.
Jérôme
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
