Une nouvelle attaque EtherOops utilise des câbles Ethernet défectueux

Spread the love
Une nouvelle attaque EtherOops utilise des câbles Ethernet défectueux Lors de la conférence Black Hat USA sur la sécurité qui se tient cette semaine, des chercheurs en sécurité IoT du groupe Armis ont publié des détails sur une nouvelle technique qui peut être utilisée pour attaquer les dispositifs situés à l’intérieur des réseaux internes des entreprises. Cette technique, appelée EtherOops, ne fonctionne que si le réseau ciblé contient des câbles Ethernet défectueux sur le chemin entre l’attaquant et sa victime. La technique EtherOops n’est qu’un scénario d’attaque théorique découvert en laboratoire par l’équipe Armis et n’est pas considérée comme un problème qui affecte les réseaux à ce jour.

Cependant, Armis prévient qu’EtherOops pourrait être utilisé dans certains scénarios par des “attaquants sophistiqués” et ne peuvent pas être écartées pour le moment.

publicité

Comment fonctionne EtherOops

L’attaque d’EtherOops est une attaque par paquets. Les attaques par paquets sont des attaques où les paquets réseau sont imbriqués les uns dans les autres. L’enveloppe extérieure est un paquet normal, tandis que l’enveloppe intérieure contient du code ou des commandes malveillantes. Le paquet externe permet à la charge utile de l’attaque de passer outre les défenses du réseau, telles que les pare-feu, tandis que le paquet interne attaque les dispositifs à l’intérieur du réseau.

Mais les paquets réseau ne perdent pas leur “enveloppe extérieure”. C’est là que les câbles Ethernet défectueux entrent en jeu. Armis affirme que les câbles défectueux souffrent d’interférences électriques et retournent des bits à l’intérieur du paquet réel, détruisant lentement l’enveloppe extérieure et laissant la charge utile interne active.

 

Image : Armis

“Compliqué ? Oui, mais pas impossible” dit l’équipe d’Armis en décrivant les attaques EtherOops. Cependant, lorsqu’elle est réussie, une attaque EtherOops peut être utilisée pour :

  • Pénétrer les réseaux directement à partir d’Internet
  • Pénétrer les réseaux internes à partir d’un segment DMZ
  • Se déplacer latéralement entre les différents segments des réseaux internes

Les attaques d’EtherOops ont peu de chances de réussir

Mais les experts d’Armis sont également les premiers à admettre qu’une attaque EtherOops n’est pas simple à réaliser et nécessite des conditions particulières. Pour commencer, des câbles défectueux doivent exister à l’intérieur d’un réseau à des endroits clés.

Deuxièmement, si les attaques zero-click (aucune interaction avec l’utilisateur) peuvent être réalisées dans certaines situations, la plupart des scénarios nécessiteront très probablement de leurrer un utilisateur sur un site web malveillant afin de donner à l’attaquant une connexion directe avec un utilisateur à l’intérieur d’un réseau d’entreprise, de manière à ce qu’il puisse livrer ses charges utiles.

Troisièmement, les erreurs de bit-flip ne sont pas particulièrement élevées, ce qui signifie que l’attaque consiste en fait à bombarder les réseaux avec de grandes quantités de paquets, en espérant qu’un bit-flip chanceux finisse par exposer la charge utile de l’attaquant, tout cela fournissant un très faible pourcentage pour une attaque réussie.

Néanmoins, Armis affirme que l’attaque peut être menée par des attaquants déterminés. Le moyen le plus simple de se protéger contre ces attaques est soit d’utiliser des câbles Ethernet blindés, soit d’utiliser des produits de sécurité réseau capables de détecter les charges utiles paquet par paquet dans le trafic réseau interne.

Armis a lancé un site web spécial pour décrire l’attaque EtherOops, a publié deux vidéos de démonstration des attaques EtherOops, et un livre blanc de 44 pages décrivant l’attaque à un niveau technique.

Source : “ZDNet.com”

Leave a Reply