Retour sur les dernières perturbations dans les services PHINGOO - gigantesque attaque DDoS mitigée
Le lundi 05 Mars 2018, les utilisateurs de nos services et produits PHINGOO ont connu des perturbations importantes, qui ont causé des blocages aux niveaux de leurs sessions et des lenteurs considérables des accès.
Une partie de nos clients n’arrivait pas à accéder à nos plateformes et leur production a été affectée. Cela a été causé par les attaques DDoS qui ont visé OVH, un de nos hébergeurs d’infrastructure et dont plusieurs instances et serveurs PHINGOO sont dans leurs Data Centers.
Revenant avec plus de détails sur ce qui s’est passé durant ces derniers jours, le Jeudi 1er mars, aux environs de 2 h du matin (GMT+1), le VAC d’OVH a mitigé une attaque DDoS dépassant les 1,3 Tbps et le record de 1 Tbps détenu jusque-là par MIRAI. Et simultanément les attaques ont ciblé aussi d’autres géants comme GitHub avec aussi environ 1,3 Tbps. En exploitant l’utilisation à travers le monde de services Memcached (mal configurés) pour lancer des attaques dites par amplification.
Depuis le début de ces événements, les équipes système de PHINGOO ont été face à plusieurs problématiques sur la partie des serveurs touchée, ces perturbations ont été causées par le plan d’action mis en place par l’OVH et déclenché suite à cette augmentation anormale de trafic. Ces contres mesures ont commencé à contrôler et filtrer les flux sur tous les serveurs qui ont ces services de cache lancés. L’impact était considérable sur les performances de ces serveurs et les temps de réponses.
Mais grâce à la diversité de notre Parc serveurs et nos Clusters en Cloud, ces déstabilisations n’ont touchés qu’une partie de nos clients et nous avons essayé d’y remédier le plus rapidement possible en montant des systèmes de Mirroring et des migrations en parallèle.
Une attaque DDoS (Distributed Denial of Service) est une tentative de rendre un service en ligne indisponible en le bombardant du trafic provenant de plusieurs sources. Elle cible une grande variété de ressources importantes, comme les banques et des sites contenant des informations sensibles et importantes.
Cette dernière attaque est considérée unique de son genre et la plus gigantesque jusqu’à maintenant. Les hackers ont exploité une vulnérabilité existante dans le service de cache avancé (Memcached) qui permet d’effectuer des requêtes sur des données mises en cache directement en mémoire. Ce service de mise en cache est accessible via le protocole UDP, vulnérable à l’usurpation d’adresse IP. Les attaquants ont donc pu réussir à envoyer des requêtes frauduleuses abusives vers ces serveurs en faisant en sorte que les réponses des services Memcached soient directement envoyées vers la cible de l’attaque.
Malgré la violence de l’attaque DDoS dont nous avons été victime, nous garantissons qu’aucune fuite d’information n’a eu lieu et aucun accès illicite n’a été réussi, les dégâts étaient des lenteurs considérables sur plusieurs nœuds de nos clusters et nous avons basculé les clients touchés sur d’autres Data Centers opérationnels.
Les premiers réflexes étaient de désactiver les services Memcached, remplacer le par des systèmes cache fichiers et déployer le Provisionning sur tous les serveurs, et nous avons aussi renforcé la sécurité de notre Parc et monitoré de près les flux de chaque serveur pour éviter la répétition d’un tel problème.
Nous tenons à nous excuser auprès de nos clients qui ont été touché par ces incidents que nous avons essayé de suivre le plus rapidement possible au dépend de sa complexité et sa gravité.
Nous tenons aussi à rassurer nos clients que les mesures prises par nos hébergeurs et les filtres drastiques des packets des bonnes mesures pour garantir au maximum la sécurité des systèmes et l’intégrité des données et évidemment la bonne qualité de service pour nos clients.