Les Anonymous auraient élaboré un programme baptisé RefRef, dont l’objectif est de lancer des attaques de déni de service (DDoS), qui exploite une vulnérabilité SQL. C’est plus précisément une faille au niveau d’une structure (java)scriptée au sein d’une base SQL (MySQL). Il envoie des requêtes SQL malformées transportant la charge utile (le payload) qui, à son tour, va utiliser des ressources dans le but final de surcharger le serveur.
Selon les développeurs : « RefRef (…) utilise une vulnérabilité SQL et Javascript. Vous envoyez un paquet de requête à partir de votre ordinateur avec un code js incorporé. Profitant de la vulnérabilité de ce moteur de base de donnée (MySQL) présent dans la plupart des sites web actuel, le serveur ciblé placera le fichier corrompu à la racine de son arborescence. Puis la requête est de nouveau envoyé sur la serveur qui va checké automatiquement le ficher js que vous lui renvoyez (le même) et celui qu’il a en mémoire. Ils vont donc « se manger » entre eux et provoquer un déroutement en local. »
Développé en JavaScript, l’outil utilise la capacité de bande du serveur cible et la « retourne » contre lui-même, faille apparemment connue mais pas encore largement patchée. En fin de compte, le serveur épuise ces ressources. Un vecteur d’attaque qui a existé pendant un certain temps, mais est souvent laissé de côté par les hackers qui préfèrent le brute force par botnets ou d’outils tels que Loïc. Une attaque de 17 secondes aurait été faite à partir d’une seule machine a entrainé un “down” de 42 minutes de Pastebin hier. Comme prévu, les admins de Pastebin n’étaient pas très heureux que leur plate-forme soit utilisée pour ces tests et il ont d’ailleurs tweeté “S’il vous plaît ne pas testez pas votre logiciel sur nous.“
Les créateurs de l’outil espèrent pouvoir lancer des attaques sur des cibles de grande envergure avant d’être bloqués, même s’ils ne croient pas que les entreprises vont se précipiter pour réparer cette faille.
L’interface graphique possède un champ pour permettre un intervalle de fréquence de sorte qu’il puisse être combiner avec un programme de flooding HTTP.
Très honnêtement je suis assez sceptique quant à la réussite des attaques DDoS. Je pense qu’Anonymous a automatiquement couplé son attaque avec des botnets, (exemple: le leak de mai 2011, quelques centaines d’adresses pointant vers des fichiers php.
