Le géant russe de l’Internet Yandex a été la cible d’une attaque par déni de service distribué (DDoS) record par un nouveau botnet appelé Mēris.

On pense que le botnet a écrasé l’infrastructure Web de l’entreprise avec des millions de requêtes HTTP, avant d’atteindre un pic de 21,8 millions de requêtes par seconde (RPS), éclipsant une récente attaque alimentée par un botnet qui a été révélée le mois dernier, bombardant un client Cloudflare anonyme. dans le secteur financier avec 17,2 millions de RPS.

Le service russe d’atténuation des attaques DDoS Qrator Labs, qui a divulgué les détails de l’attaque jeudi, a appelé Mēris — qui signifie « Peste » en letton — un « botnet d’un nouveau genre ».

« Il est également clair que ce botnet particulier continue de croître. Il est suggéré que le botnet pourrait croître en force grâce au forçage brutal des mots de passe, bien que nous ayons tendance à négliger cela comme une légère possibilité. Cela ressemble à une vulnérabilité qui a été soit conservée secret avant le début de la campagne massive ou vendu sur le marché noir », ont noté les chercheurs, ajoutant que Mēris « peut submerger presque toutes les infrastructures, y compris certains réseaux très robustes […] en raison de l’énorme puissance RPS qu’il apporte. »

Les attaques DDoS ont exploité une technique appelée pipeline HTTP qui permet à un client (c’est-à-dire un navigateur Web) d’ouvrir une connexion au serveur et de faire plusieurs requêtes sans attendre chaque réponse. Le trafic malveillant provenait de plus de 250 000 hôtes infectés, principalement des périphériques réseau de Mikrotik, avec des preuves indiquant un spectre de RouteurOS versions qui ont été militarisées en exploitant des vulnérabilités encore inconnues.

Mais dans un article de forum, le fabricant letton d’équipement de réseau a déclaré que ces attaques utilisent le même ensemble de routeurs qui ont été compromis via une vulnérabilité de 2018 (CVE-2018-14847, score CVSS : 9.1) qui a été corrigé depuis et qu’il n’y a pas de nouvelles vulnérabilités (zéro jour) affectant les appareils.

« Malheureusement, la fermeture de la vulnérabilité ne protège pas immédiatement ces routeurs. Si quelqu’un a obtenu votre mot de passe en 2018, une simple mise à niveau n’aidera pas. Vous devez également changer le mot de passe, revérifier votre pare-feu s’il ne permet pas l’accès à distance à des parties inconnues, et recherchez les scripts que vous n’avez pas créés », il c’est noté.

Mēris a également été lié à un certain nombre d’attaques DDoS, y compris celle atténuée par Cloudflare, notant les chevauchements dans les « durées et distributions entre les pays ».

Bien qu’il soit fortement recommandé de mettre à niveau les appareils MikroTik vers le dernier firmware pour lutter contre les attaques potentielles de botnet, il est également conseillé aux organisations de modifier leurs mots de passe d’administration pour se protéger contre les tentatives de force brute.