Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
abril
(Total:
31
)
- Falsas guias de juegos engañan a 2 millones de usu...
- Tamper Chrome: el TamperData de Firefox para Chrome
- Vulnerabilidad crítica en módulo de Drupal
- Shadow Brokers: Framework Fuzzbunch y los exploits...
- Disponible Kali Linux Edición 2017.1
- FlexiSpy, empresa que vende software espía es hack...
- Récord sentencia delitos informáticos: 27 años de ...
- Botnets justicieras: Hajime y BrickerBot; la antít...
- IDS/IPS Suricata
- Demandan a Bose por espiar la música con sus auric...
- Apps fraudulentas en Google Play
- Múltiples vulnerabilidades Smart-Wifi de routers L...
- jSQL Injection: herramienta automatizada en Java p...
- El ayuntamiento de Rialp también es víctima de un ...
- Protocolo CLDAP permite realizar ataques DDoS con ...
- Desarticulado un grupo de cibercriminales por come...
- Pwnbox: herramientas de hacking en Docker
- Nintendo pagará por encontrar fallos de seguridad ...
- AMD Ryzen aplasta a un Mac Pro en pruebas de rendi...
- Vulnerabilidad crítica en todas las versiones de O...
- Detenido en Barcelona ruso acusado de interferir e...
- Fabricante de puertas de garaje bloquea las de un ...
- Tizen de Samsung es un coladero: 40 vulnerabilidad...
- La tarjeta gráfica más potente: Titan XP con 3.840...
- Hackean el servidor de HazteOir y amenazan con pub...
- Encuesta lenguajes de programación preferidos en S...
- Actualiza tu iPhone e iPad para evitar ser hackead...
- Vulnerabilidad en Samba permite acceder a ficheros...
- Skimmers en cajeros automáticos para robarte dinero
- La memoria RAM DDR5 ofrecerá el doble de velocidad...
- Escaners de vulnerabilidades para WordPress y Joomla
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Protocolo CLDAP permite realizar ataques DDoS con un factor de amplificación de 70x
domingo, 16 de abril de 2017
|
Publicado por
el-brujo
|
Editar entrada
Actualmente, se calcula que hay 250.000 dispositivos con el puerto 389 expuesto a Internet, según Shodan. Akamai ha vuelto a ver ataques DrDoS reflexivos y amplificacados aprovechando el protocolo CLDAP por primera vez utilizado en finales del año 2016, y los ataques que utilizan este protocolo tienen el suficiente potencial de causar graves daños ya que cualquier ataque DrDDoS con suficiente ancho de banda es complicado de mitigar.
Abreviatura de "Protocolo ligero de acceso a directorios sin conexión", CLDAP ofrece una alternativa al Protocolo ligero de acceso a directorios (LDAP) de Microsoft.
El protocolo CLDAP, definido por el RFC 1798 y reemplazado por el RFC 3352, es una alternativa al protocolo LDAP de Microsoft, utilizado para conectar, buscar y modificar directorios de Internet compartidos. Utilizado también como vector de ataque por la botnet Mirai.
Si bien ambos protocolos funcionan en el puerto 389, LDAP funciona a través de TCP, mientras que CLDAP, como su nombre indica, funciona a través de UDP.
El protocolo CLDAP puede estar habilitado en tus árboles LDAP e incluso Active Directory de Microsoft soporta este tipo de conexiones para acelerar los procesos de consulta a los objetos del árbol LDAP que da soporte a AD.
Según Akamai, durante octubre de 2016, la empresa comenzó a detectar ataques DDoS llevados a cabo a través de un protocolo desconocido, que fue CLDAP. Esto estaba ocurriendo al mismo tiempo cuando la empresa de mitigación DDoS Corero anunció que también descubrió ataques DDoS aprovechando LDAP.
Según el informe Akamai publicado esta semana, ambos protocolos parecen haber sido utilizados de maneras similares, que ha sido para realizar los ataques de reflexión DDoS amplificados.
Este tipo de ataques ocurren cuando un atacante envía una solicitud LDAP o CLDAP a un servidor LDAP con una dirección IP falsa del remitente (IP de la víctima).
Esta prueba de concepto es un ataque de amplificación de anulación del ancho de banda / denegación de servicio de LDAP distribuido, similar a los ataques de amplificación de DNS y NTP, donde el objetivo del DoS es falsificado como IP de origen en una solicitud a los reflectores (en este caso, los servidores LDAP) . Los reflectores responden a la IP de destino falsificada con una respuesta mayor que la pregunta original, lo que da como resultado que el objetivo experimente lo que parece ser un ataque distribuido de denegación de servicio, aunque sólo puede haber una fuente verdadera. Sufre de una vulnerabilidad de denegación de servicio
En base a la consulta LDAP / CLDAP del atacante, el servidor responde con sus propios datos, que inserta en el paquete de respuesta. Debido a que el atacante usó spoofing IP, esta respuesta no solicitada y voluminosa se envía al IP del destino, provocando el ataque DDoS, ya que la máquina de la víctima no puede procesar cantidades masivas de datos LDAP / CLDAP al mismo tiempo.
CLDAP y LDAP DDoS ataques tienen masiva factores de amplificación
Esta es la parte de reflexión del ataque. La parte de amplificación, o el factor de amplificación es el número de veces que un paquete se agranda mientras es procesado por el servidor LDAP.
Tanto para los protocolos LDAP como para CLDAP, este factor de amplificación es bastante importante. Normalmente, otros protocolos susceptibles de ataques de DDoS de reflexión amplificada tienen un factor de amplificación de alrededor de 10, lo que significa que un paquete de 1 byte es rebotado del servidor vulnerable y amplificado a 10 bytes.
Según Corero, para el LDAP, el factor de amplificación es de 46, en promedio, y de hasta 55 en condiciones de pico.
Los ataques de CLDAP son ligeramente más potentes, con un factor de amplificación de 56, en promedio, y 70 en las condiciones máximas.
Akamai dice que desde el 14 de octubre de 2016, cuando se vio el primer ataque DDoS basado en CLDAP, ha habido 50 ataques en total, procedentes de 7.629 reflectores CLDAP únicos (servidores LDAP con puerto 389 expuestos a Internet).
El mayor de esto fue de 24 Gbps, más que suficiente para derribar un sitio web, que suele caer alrededor de 1 Gbps.
La gran mayoría de estos ataques, 33, fueron ataques vectoriales únicos, lo que significa 100% de solicitudes CLDAP puras, sin ningún otro protocolo. Esto es poco común, ya que la mayoría de los ataques DDoS utilizan múltiples protocolos para evitar los sistemas de protección DDoS.
El bajo número de ataques CLDAP detectados durante los últimos seis meses y el alto porcentaje de ataques DDDs CLDAP puros nos lleva a creer que un actor amenazador estaba probando la factibilidad de CLDAP para ataques DDoS.
Con factores de amplificación que van tan alto como 55 y 70, LDAP y CLDAP pueden ser muy populares con DDoS-for-hire services. Actualmente, hay 250.000 dispositivos con el puerto 389 expuestos a Internet, según Shodan.
En los últimos dos años, los investigadores de seguridad han descubierto otros protocolos susceptibles a ataques de reflexión DDoS amplificados, como NetBIOS, RPC, Sentinel, DNSSEC y TFTP. En general, los protocolos basados en UDP son susceptibles a este tipo de ataques.
Servicios que se utilizan para realizar ataques User Datagram Protocol (udp) amplificados
UDP Reflected Attacks
Fuentes:
https://www.bleepingcomputer.com/news/security/cldap-protocol-allows-ddos-attacks-with-70x-amplification-factor/
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
- Connectionless Lightweight Directory Access Protocol
Abreviatura de "Protocolo ligero de acceso a directorios sin conexión", CLDAP ofrece una alternativa al Protocolo ligero de acceso a directorios (LDAP) de Microsoft.
El protocolo CLDAP, definido por el RFC 1798 y reemplazado por el RFC 3352, es una alternativa al protocolo LDAP de Microsoft, utilizado para conectar, buscar y modificar directorios de Internet compartidos. Utilizado también como vector de ataque por la botnet Mirai.
Si bien ambos protocolos funcionan en el puerto 389, LDAP funciona a través de TCP, mientras que CLDAP, como su nombre indica, funciona a través de UDP.
El protocolo CLDAP puede estar habilitado en tus árboles LDAP e incluso Active Directory de Microsoft soporta este tipo de conexiones para acelerar los procesos de consulta a los objetos del árbol LDAP que da soporte a AD.
Primeros ataques DDoS usando CLDAP detectados el año pasado
Según Akamai, durante octubre de 2016, la empresa comenzó a detectar ataques DDoS llevados a cabo a través de un protocolo desconocido, que fue CLDAP. Esto estaba ocurriendo al mismo tiempo cuando la empresa de mitigación DDoS Corero anunció que también descubrió ataques DDoS aprovechando LDAP.
Según el informe Akamai publicado esta semana, ambos protocolos parecen haber sido utilizados de maneras similares, que ha sido para realizar los ataques de reflexión DDoS amplificados.
Este tipo de ataques ocurren cuando un atacante envía una solicitud LDAP o CLDAP a un servidor LDAP con una dirección IP falsa del remitente (IP de la víctima).
Esta prueba de concepto es un ataque de amplificación de anulación del ancho de banda / denegación de servicio de LDAP distribuido, similar a los ataques de amplificación de DNS y NTP, donde el objetivo del DoS es falsificado como IP de origen en una solicitud a los reflectores (en este caso, los servidores LDAP) . Los reflectores responden a la IP de destino falsificada con una respuesta mayor que la pregunta original, lo que da como resultado que el objetivo experimente lo que parece ser un ataque distribuido de denegación de servicio, aunque sólo puede haber una fuente verdadera. Sufre de una vulnerabilidad de denegación de servicio
En base a la consulta LDAP / CLDAP del atacante, el servidor responde con sus propios datos, que inserta en el paquete de respuesta. Debido a que el atacante usó spoofing IP, esta respuesta no solicitada y voluminosa se envía al IP del destino, provocando el ataque DDoS, ya que la máquina de la víctima no puede procesar cantidades masivas de datos LDAP / CLDAP al mismo tiempo.
CLDAP y LDAP DDoS ataques tienen masiva factores de amplificación
Esta es la parte de reflexión del ataque. La parte de amplificación, o el factor de amplificación es el número de veces que un paquete se agranda mientras es procesado por el servidor LDAP.
Tanto para los protocolos LDAP como para CLDAP, este factor de amplificación es bastante importante. Normalmente, otros protocolos susceptibles de ataques de DDoS de reflexión amplificada tienen un factor de amplificación de alrededor de 10, lo que significa que un paquete de 1 byte es rebotado del servidor vulnerable y amplificado a 10 bytes.
Según Corero, para el LDAP, el factor de amplificación es de 46, en promedio, y de hasta 55 en condiciones de pico.
Los ataques de CLDAP son ligeramente más potentes, con un factor de amplificación de 56, en promedio, y 70 en las condiciones máximas.
Se detectaron 50 ataques DDoS usando CLDAP
Akamai dice que desde el 14 de octubre de 2016, cuando se vio el primer ataque DDoS basado en CLDAP, ha habido 50 ataques en total, procedentes de 7.629 reflectores CLDAP únicos (servidores LDAP con puerto 389 expuestos a Internet).
El mayor de esto fue de 24 Gbps, más que suficiente para derribar un sitio web, que suele caer alrededor de 1 Gbps.
La gran mayoría de estos ataques, 33, fueron ataques vectoriales únicos, lo que significa 100% de solicitudes CLDAP puras, sin ningún otro protocolo. Esto es poco común, ya que la mayoría de los ataques DDoS utilizan múltiples protocolos para evitar los sistemas de protección DDoS.
¿Alguien probando un nuevo cañón DDoS?
El bajo número de ataques CLDAP detectados durante los últimos seis meses y el alto porcentaje de ataques DDDs CLDAP puros nos lleva a creer que un actor amenazador estaba probando la factibilidad de CLDAP para ataques DDoS.
Con factores de amplificación que van tan alto como 55 y 70, LDAP y CLDAP pueden ser muy populares con DDoS-for-hire services. Actualmente, hay 250.000 dispositivos con el puerto 389 expuestos a Internet, según Shodan.
En los últimos dos años, los investigadores de seguridad han descubierto otros protocolos susceptibles a ataques de reflexión DDoS amplificados, como NetBIOS, RPC, Sentinel, DNSSEC y TFTP. En general, los protocolos basados en UDP son susceptibles a este tipo de ataques.
Servicios que se utilizan para realizar ataques User Datagram Protocol (udp) amplificados
- DNS
- NTP
- SNMPv2
- NetBIOS
- SSDP
- CharGEN
- QOTD
- BitTorrent
- Kad
- Quake Network Protocol
- Steam Protocol
- RIPv1
- Multicast DNS (mDNS)
- Portmap/RPC
- LDAP
- Constrained Application Protocol (CoAP)
- Memcached
- WS-Discovery
UDP Reflected Attacks
Nombre | Puerto origen UDP | Descripción | Poder amplificación |
---|---|---|---|
DNS | 53 (o aleatorio) | Domain Name System | 28 a 54 |
CharGEN | 19 | Character Generator Procotol | 358.8 |
Echo | 7 | File search | |
QOTD | 17 | Quote of the Day | 140.3 |
NTP | 123 | Networt Time Protocol | 556.9 |
SNMP | 161 | Simple Network Management Protocol | 6.3 |
TFTP | 69 | Trivial File Transfer Protocol | 60 |
SSDP | 1900 | Simple Service Discovery Protocol | 32 |
CLDAP | 389 | Connection-less LDAP | 56 hasta 70 |
Memcached | 11211 | Memcached | 200 |
CoAP | 5683 | Constrained Application Protocol | 10 a 50 |
WS-Discovery | 3702 | Web Services Dynamic Discovery | 10 a 500 |
Protocolo | Multiplicador |
DNS | 28 a 54 |
NTP | 556.9 |
SNMPv2 | 6.3 |
NetBIOS | 3.8 |
SSDP | 32 |
CharGEN | 358.8 |
QOTD | 140.3 |
BitTorrent | 3.8 |
Kad | 16.3 |
Quake Network Protocol | 63.9 |
Steam Protocol | 5.5 |
Multicast DNS (mDNS) | 2 a 10 |
RIPv1 | 131.24 |
Portmap (RPCbind) | 7 a 28 |
LDAP | 46 a 55 |
CLDAP | 56 a 70 |
TFTP | 60 |
Memcached | 200 |
CoAP | 10 a 50 |
WS-Discovery | 10 a 500 |
Fuentes:
https://www.bleepingcomputer.com/news/security/cldap-protocol-allows-ddos-attacks-with-70x-amplification-factor/
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.