• Reflective TFTP DDoS attack vector is now a reality

    The first weaponised attack script started circulating days after the publication of a study 2 months ago, which warned that 600.000 TFTP servers could be exploited for reflective DDoS attacks.
    (http://seenthis.net/messages/473596)

    http://news.softpedia.com/news/ddos-attacks-via-tftp-protocol-become-a-reality-after-research-goes-

    Akamai SIRT, the company’s security team, says its engineers have detected at least ten DDoS attacks since April 20, 2016, during which the crooks abused Internet-exposed TFTP servers to reflect traffic

    First instances of TFTP reflection DDoS attacks fail to impress

    the attack wasn’t pure, it never reached huge statistical measurements. Akamai reports the peak bandwidth was 1.2 Gbps, and the peak packet volume was 176,400 packets per second. These are considered low values for DDoS attacks, but enough to consume the target’s bandwidth.

    The crooks seem to have misconfigured the attack script

    In the attacks it detected, Akamai says the crooks ignored to set the attacked port value, and their script sent out traffic to random ports on the target’s server.

    Akamai warns organizations to secure their TFTP servers by placing these servers behind a firewall. Since the 25-year-old TFTP protocol doesn’t support modern authentication methods, there is no good reason to have these types of servers exposed to the Internet.

    #DDoS
    #TFTP

  • 600,000 TFTP Servers Can Be Abused for Reflection DDoS Attacks

    http://news.softpedia.com/news/600-000-tftp-servers-can-be-abused-for-reflection-ddos-attacks-50156

    A new study has revealed that improperly configured TFTP servers can be easily abused to carry out reflection DDoS attacks that can sometimes have an amplification factor of 60, one of the highest such values.

    The study:

    Evaluation of TFTP DDoS Amplification Attack

    http://researchrepository.napier.ac.uk/8746
    This work outlines an evaluation tool and evaluates an amplification attack based on the Trivial File Transfer Proto-col (TFTP). This attack could have amplification factor of approximately 60, which rates highly alongside other researched amplification attacks. This could be a substantial issue globally, due to the fact this protocol is used in approximately 599,600 publicly open TFTP servers. Mitigation methods to this threat have also been consid-ered and a variety of countermeasures are proposed. Effects of this attack on both amplifier and target were analysed based on the proposed metrics. While it has been reported that the breaching of TFTP would be possible (Schultz, 2013), this paper provides a complete methodology for the setup of the attack, and its verification.

    There is a guy who went the effort to test it all out (Google Translate necessary...)
    Here is his technical description
    http://drops.wooyun.org/tips/14020
    https://translate.google.com/translate?hl=en&sl=auto&tl=en&u=http%3A%2F%2Fdrops.wooyun.org%2Fti

    #DDoS #DRDoS
    #TFTP

  • RFC 7440 : TFTP Windowsize Option

    #TFTP est un très vieux protocole de transfert de fichiers, surtout utilisé pour le démarrage de machines n’ayant pas les fichiers nécessaires en local, et devant les acquérir sur le réseau (par exemple via #PXE). Reposant sur #UDP et pas TCP comme tous les autres protocoles de transfert de fichiers, il peut être mis en œuvre dans un code de taille minimal, qui tient dans la mémoire morte. Par défaut, TFTP n’a pas de fenêtre d’envoi : chaque paquet doit faire l’objet d’un accusé de réception avant qu’on puisse envoyer le suivant. Ce #RFC ajoute une option à TFTP qui permet d’avoir une fenêtre d’envoi, accélerant ainsi les transferts de fichier.

    http://www.bortzmeyer.org/7440.html

  • Négociations et transparence : la Commission condamnée
    http://www.contrelacour.fr/negociations-transparence-cjue-condamne-commission

    Le 3 juillet 2014, la CJUE a rendu un arrêt important en matière de transparence relative aux négociations commerciales.
    Cet arrêt fait suite à un recours déposé par une eurodéputée néerlandaise libérale (ALDE) suite au refus de la Commission européenne de lui transmettre l’intégralité des documents relatifs aux négociations entre l’UE et les USA sur l’accord dit TFTP-SWIFT.
    Cet accord a pour objectif de mettre à la disposition du département du Trésor des États-Unis des données de messagerie financière dans le cadre de la prévention du terrorisme et du financement du terrorisme (Europaforum.public.lu).

    Les dispositions de cet arrêt peuvent largement être transposées à l’ensemble des accords commerciaux actuellement négociés par la Commission, notamment l’accord général négocié avec les Etats-Unis : le TTIP.

    Un article en ce sens a été écrit par le blog espagnol Economia Ciudadana. Je vous en propose la traduction ci-dessous.

    Le 3 juillet, la Cour de justice de l’Union européenne (première chambre) a rendu un jugement historique, en réponse à un appel interjeté par le Conseil visant à refuser l’accès aux documents de négociations internationales pour les citoyens européens et à leurs représentants au Parlement européen.

    Bien que le jugement C 350/12 P ne se réfère pas spécifiquement au traité transatlantique, il a un impact direct sur ces négociations, en établissant l’obligation de permettre totale ou accès partiel aux documents de négociation internationale aux citoyens de l’Union européenne et leurs représentants politiques élus au Parlement européen, annulant les stratagèmes les plus couramment utilisés par la Commission pour refuser l’accès à ces informations, généralement basés sur les dommages hypothétiques ou en affirmant tout simplement que des pourparlers sont déjà en cours.

    Comme il est de plus en plus habituel dans les pourparlers relatifs au TTIP, le Conseil européen et la Commission européenne bloquent systématiquement l’accès aux documents, sur la base du dommage hypothétique qui serait causé aux stratégies de négociation de l’UE, la Commission soutenant que cela donnerait un important avantage à l’autre partie.

    L’arrêt de la CJUE équilibre exactement les intérêts des institutions, qui doit d’une part assurer l’accès à toutes les informations concernant leur gestion, comme un moyen efficace de garantir le droit à la transparence des citoyens, et de l’autre doit garantie un niveau nécessaire de discrétion requis pour les processus de négociations internationales, afin d’éviter les stratégies de négociation de base révélatrices d’autres parties aux négociations.

    Bien que la transparence doit être une qualité intrinsèque des institutions européennes – en particulier dans le cas du « défaut-démocratique » de la Commission européenne – la CJUE a été obligé de rappeler au pouvoir exécutif une série de vérités évidentes en matière de transparence : l’accès aux documents produits ou reçus par les institutions européennes et les droits des citoyens de base, tous consacrés par l’article 6 du traité de l’Union européenne et dans la Charte des droits fondamentaux de l’Union européenne.......

    #CJUE
    #Commission_européenne
    #UE
    #USA
    accord dit #TFTP-SWIFT