Protocolo CLDAP permite realizar ataques DDoS con un factor de amplificación de 70x
Actualmente, se calcula que hay 250.000 dispositivos con el puerto 389 expuesto a Internet, según Shodan. Akamai ha vuelto a ver ataques DrDoS reflexivos y amplificacados aprovechando el protocolo CLDAP por primera vez utilizado en finales del año 2016, y los ataques que utilizan este protocolo tienen el suficiente potencial de causar graves daños ya que cualquier ataque DrDDoS con suficiente ancho de banda es complicado de mitigar.
El protocolo CLDAP, definido por el RFC 1798 y reemplazado por el RFC 3352, es una alternativa al protocolo LDAP de Microsoft, utilizado para conectar, buscar y modificar directorios de Internet compartidos.
Si bien ambos protocolos funcionan en el puerto 389, LDAP funciona a través de TCP, mientras que CLDAP, como su nombre indica, funciona a través de UDP.
Según Akamai, durante octubre de 2016, la empresa comenzó a detectar ataques DDoS llevados a cabo a través de un protocolo desconocido, que fue CLDAP. Esto estaba ocurriendo al mismo tiempo cuando la empresa de mitigación DDoS Corero anunció que también descubrió ataques DDoS aprovechando LDAP.
Según el informe Akamai publicado esta semana, ambos protocolos parecen haber sido utilizados de maneras similares, que ha sido para realizar los ataques de reflexión DDoS amplificados.
Este tipo de ataques ocurren cuando un atacante envía una solicitud LDAP o CLDAP a un servidor LDAP con una dirección IP falsa del remitente (IP de la víctima).
Esta prueba de concepto es un ataque de amplificación de anulación del ancho de banda / denegación de servicio de LDAP distribuido, similar a los ataques de amplificación de DNS y NTP, donde el objetivo del DoS es falsificado como IP de origen en una solicitud a los reflectores (en este caso, los servidores LDAP) . Los reflectores responden a la IP de destino falsificada con una respuesta mayor que la pregunta original, lo que da como resultado que el objetivo experimente lo que parece ser un ataque distribuido de denegación de servicio, aunque sólo puede haber una fuente verdadera. Sufre de una vulnerabilidad de denegación de servicio
En base a la consulta LDAP / CLDAP del atacante, el servidor responde con sus propios datos, que inserta en el paquete de respuesta. Debido a que el atacante usó spoofing IP, esta respuesta no solicitada y voluminosa se envía al IP del destino, provocando el ataque DDoS, ya que la máquina de la víctima no puede procesar cantidades masivas de datos LDAP / CLDAP al mismo tiempo.
CLDAP y LDAP DDoS ataques tienen masiva factores de amplificación
Esta es la parte de reflexión del ataque. La parte de amplificación, o el factor de amplificación es el número de veces que un paquete se agranda mientras es procesado por el servidor LDAP.
Tanto para los protocolos LDAP como para CLDAP, este factor de amplificación es bastante importante. Normalmente, otros protocolos susceptibles de ataques de DDoS de reflexión amplificada tienen un factor de amplificación de alrededor de 10, lo que significa que un paquete de 1 byte es rebotado del servidor vulnerable y amplificado a 10 bytes.
Según Corero, para el LDAP, el factor de amplificación es de 46, en promedio, y de hasta 55 en condiciones de pico.
Los ataques de CLDAP son ligeramente más potentes, con un factor de amplificación de 56, en promedio, y 70 en las condiciones máximas.
Akamai dice que desde el 14 de octubre de 2016, cuando se vio el primer ataque DDoS basado en CLDAP, ha habido 50 ataques en total, procedentes de 7.629 reflectores CLDAP únicos (servidores LDAP con puerto 389 expuestos a Internet).
El mayor de esto fue de 24 Gbps, más que suficiente para derribar un sitio web, que suele caer alrededor de 1 Gbps.
La gran mayoría de estos ataques, 33, fueron ataques vectoriales únicos, lo que significa 100% de solicitudes CLDAP puras, sin ningún otro protocolo. Esto es poco común, ya que la mayoría de los ataques DDoS utilizan múltiples protocolos para evitar los sistemas de protección DDoS.
El bajo número de ataques CLDAP detectados durante los últimos seis meses y el alto porcentaje de ataques DDDs CLDAP puros nos lleva a creer que un actor amenazador estaba probando la factibilidad de CLDAP para ataques DDoS.
Con factores de amplificación que van tan alto como 55 y 70, LDAP y CLDAP pueden ser muy populares con DDoS-for-hire services. Actualmente, hay 250.000 dispositivos con el puerto 389 expuestos a Internet, según Shodan.
En los últimos dos años, los investigadores de seguridad han descubierto otros protocolos susceptibles a ataques de reflexión DDoS amplificados, como NetBIOS, RPC, Sentinel, DNSSEC y TFTP. En general, los protocolos basados en UDP son susceptibles a este tipo de ataques.
Servicios que se utilizan para realizar ataques User Datagram Protocol (udp) amplificados
Fuentes:
https://www.bleepingcomputer.com/news/security/cldap-protocol-allows-ddos-attacks-with-70x-amplification-factor/
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
El protocolo CLDAP, definido por el RFC 1798 y reemplazado por el RFC 3352, es una alternativa al protocolo LDAP de Microsoft, utilizado para conectar, buscar y modificar directorios de Internet compartidos.
Si bien ambos protocolos funcionan en el puerto 389, LDAP funciona a través de TCP, mientras que CLDAP, como su nombre indica, funciona a través de UDP.
Primeros ataques DDoS usando CLDAP detectados el año pasado
Según Akamai, durante octubre de 2016, la empresa comenzó a detectar ataques DDoS llevados a cabo a través de un protocolo desconocido, que fue CLDAP. Esto estaba ocurriendo al mismo tiempo cuando la empresa de mitigación DDoS Corero anunció que también descubrió ataques DDoS aprovechando LDAP.
Según el informe Akamai publicado esta semana, ambos protocolos parecen haber sido utilizados de maneras similares, que ha sido para realizar los ataques de reflexión DDoS amplificados.
Este tipo de ataques ocurren cuando un atacante envía una solicitud LDAP o CLDAP a un servidor LDAP con una dirección IP falsa del remitente (IP de la víctima).
Esta prueba de concepto es un ataque de amplificación de anulación del ancho de banda / denegación de servicio de LDAP distribuido, similar a los ataques de amplificación de DNS y NTP, donde el objetivo del DoS es falsificado como IP de origen en una solicitud a los reflectores (en este caso, los servidores LDAP) . Los reflectores responden a la IP de destino falsificada con una respuesta mayor que la pregunta original, lo que da como resultado que el objetivo experimente lo que parece ser un ataque distribuido de denegación de servicio, aunque sólo puede haber una fuente verdadera. Sufre de una vulnerabilidad de denegación de servicio
En base a la consulta LDAP / CLDAP del atacante, el servidor responde con sus propios datos, que inserta en el paquete de respuesta. Debido a que el atacante usó spoofing IP, esta respuesta no solicitada y voluminosa se envía al IP del destino, provocando el ataque DDoS, ya que la máquina de la víctima no puede procesar cantidades masivas de datos LDAP / CLDAP al mismo tiempo.
CLDAP y LDAP DDoS ataques tienen masiva factores de amplificación
Esta es la parte de reflexión del ataque. La parte de amplificación, o el factor de amplificación es el número de veces que un paquete se agranda mientras es procesado por el servidor LDAP.
Tanto para los protocolos LDAP como para CLDAP, este factor de amplificación es bastante importante. Normalmente, otros protocolos susceptibles de ataques de DDoS de reflexión amplificada tienen un factor de amplificación de alrededor de 10, lo que significa que un paquete de 1 byte es rebotado del servidor vulnerable y amplificado a 10 bytes.
Según Corero, para el LDAP, el factor de amplificación es de 46, en promedio, y de hasta 55 en condiciones de pico.
Los ataques de CLDAP son ligeramente más potentes, con un factor de amplificación de 56, en promedio, y 70 en las condiciones máximas.
Se detectaron 50 ataques DDoS usando CLDAP
Akamai dice que desde el 14 de octubre de 2016, cuando se vio el primer ataque DDoS basado en CLDAP, ha habido 50 ataques en total, procedentes de 7.629 reflectores CLDAP únicos (servidores LDAP con puerto 389 expuestos a Internet).
El mayor de esto fue de 24 Gbps, más que suficiente para derribar un sitio web, que suele caer alrededor de 1 Gbps.
La gran mayoría de estos ataques, 33, fueron ataques vectoriales únicos, lo que significa 100% de solicitudes CLDAP puras, sin ningún otro protocolo. Esto es poco común, ya que la mayoría de los ataques DDoS utilizan múltiples protocolos para evitar los sistemas de protección DDoS.
¿Alguien probando un nuevo cañón DDoS?
El bajo número de ataques CLDAP detectados durante los últimos seis meses y el alto porcentaje de ataques DDDs CLDAP puros nos lleva a creer que un actor amenazador estaba probando la factibilidad de CLDAP para ataques DDoS.
Con factores de amplificación que van tan alto como 55 y 70, LDAP y CLDAP pueden ser muy populares con DDoS-for-hire services. Actualmente, hay 250.000 dispositivos con el puerto 389 expuestos a Internet, según Shodan.
En los últimos dos años, los investigadores de seguridad han descubierto otros protocolos susceptibles a ataques de reflexión DDoS amplificados, como NetBIOS, RPC, Sentinel, DNSSEC y TFTP. En general, los protocolos basados en UDP son susceptibles a este tipo de ataques.
Servicios que se utilizan para realizar ataques User Datagram Protocol (udp) amplificados
- DNS
- NTP
- SNMPv2
- NetBIOS
- SSDP
- CharGEN
- QOTD
- BitTorrent
- Kad
- Quake Network Protocol
- Steam Protocol
- RIPv1
- Multicast DNS (mDNS)
- Portmap/RPC
- LDAP
Fuentes:
https://www.bleepingcomputer.com/news/security/cldap-protocol-allows-ddos-attacks-with-70x-amplification-factor/
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
Via: blog.elhacker.net
Protocolo CLDAP permite realizar ataques DDoS con un factor de amplificación de 70x
Reviewed by Zion3R
on
13:59
Rating: