Arbor Networks révèle un niveau élevé de scans SSH / Telnet en cours
Arbor Networks Inc., la division sécurité de NETSCOUT (NASDAQ : NTCT), annonce l’extension de son réseau mondial de « honeypots » avec une infrastructure supplémentaire dans le cloud, destinée à surveiller les activités de scan susceptibles d’aboutir à un piratage d’équipements sur l’Internet des objets (IoT). Celle-ci couvre les régions Asie du Nord-Est-Pacifique, Asie du Sud-Est-Pacifique, Europe centrale, Europe occidentale, Amérique du Sud orientale, ainsi que l’Est et l’Ouest des Etats-Unis.
Les équipements IoT sont des cibles idéales pour les pirates cherchant à constituer des botnets pour des attaques DDoS, en raison de leurs fonctions de sécurité limitées, voire inexistantes. Certains de ses objets emploient des mots de passe par défaut inscrits dans leur mémoire, bon nombre d’entre eux exécutent des services superflus qui risquent d’être piratés et d’autres encore présentent des interfaces de gestion non protégées. Le plus important pour les auteurs d’attaques DDoS est que les équipements de l’IoT offrent des connexions haut débit et sont actifs en permanence, ce qui ouvre la voie à un intense volume prévisible de trafic d’attaque émis par chaque appareil infecté.
Les chiffres émanant des honeypots d’Arbor Networks, sur une période de deux semaines, indiquent au total 1 027 543 tentatives de connexion, dont 819 198 ont échoué, provenant en tout de 92 317 adresses IP distinctes.
-Globalement, Arbor Networks a observé un pic de 18 054 tentatives de connexion par heure au cours de la période considérée.
-Le protocole Telnet est plus fréquemment ciblé que SSH, une tendance qui ressort clairement des moyennes horaires : respectivement 756 tentatives pour le second, contre 2762 pour le premier.
Différences géographiques
Le matériel et les logiciels actuellement utilisés dans une grande partie des objets de l’IoT proviennent d’un nombre restreint de fabricants asiatiques. En 2014, l’un des principaux fabricants a publié une nouvelle version de son logiciel venant résoudre certains problèmes de sécurité. Cependant, ces correctifs n’ont été appliqués que dans la version anglaise du logiciel. Une ventilation géographique des tentatives de connexion détectées par les honeypots fait apparaître des chiffres moyens et maximums plus élevés en Asie-Pacifique et en Amérique du Sud, plus de une par minute dans certains cas.
« Cette étude d’Arbor Networks vient confirmer, au niveau international, bon nombre des découvertes que nous avons faites l’an dernier au sujet de la multiplication attendue des attaques DDoS de grande ampleur. Il devient de plus en plus critique pour les fabricants d’équipements IoT d’intégrer la sécurité dans la conception de leurs produits, notamment en les dotant de capacités de mise à jour, afin de réduire le risque de les voir embrigadés dans des botnets », commente Ari Schwarz, Directeur général des services de cybersécurité de Venable et ancien assistant spécial du Président et Directeur de la cybersécurité de l’administration Obama.
Pour télécharger l’intégralité de l’étude sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report), notamment les rubriques spécialement consacrées au suivi des botnets IoT, cliquez ici.