Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Protocolo CLDAP permite realizar ataques DDoS con un factor de amplificación de 70x


Actualmente, se calcula que hay 250.000 dispositivos con el puerto 389 expuesto a Internet, según Shodan. Akamai ha vuelto a ver ataques DrDoS reflexivos y amplificacados aprovechando el protocolo CLDAP por primera vez utilizado en  finales del año 2016, y los ataques que utilizan este protocolo tienen el suficiente potencial de causar graves daños ya que cualquier ataque DrDDoS con suficiente ancho de banda es complicado de mitigar.





  • Connectionless Lightweight Directory Access Protocol


Abreviatura de "Protocolo ligero de acceso a directorios sin conexión", CLDAP ofrece una alternativa al Protocolo ligero de acceso a directorios (LDAP) de Microsoft.

El protocolo CLDAP, definido por el RFC 1798 y reemplazado por el RFC 3352, es una alternativa al protocolo LDAP de Microsoft, utilizado para conectar, buscar y modificar directorios de Internet compartidos. Utilizado también como vector de ataque por la botnet Mirai.




Si bien ambos protocolos funcionan en el puerto 389, LDAP funciona a través de TCP, mientras que CLDAP, como su nombre indica, funciona a través de UDP.

El protocolo CLDAP puede estar habilitado en tus árboles LDAP e incluso Active Directory de Microsoft soporta este tipo de conexiones para acelerar los procesos de consulta a los objetos del árbol LDAP que da soporte a AD.

Primeros ataques DDoS usando CLDAP detectados el año pasado


Según Akamai, durante octubre de 2016, la empresa comenzó a detectar ataques DDoS llevados a cabo a través de un protocolo desconocido, que fue CLDAP. Esto estaba ocurriendo al mismo tiempo cuando la empresa de mitigación DDoS Corero anunció que también descubrió ataques DDoS aprovechando LDAP.

Según el informe Akamai publicado esta semana, ambos protocolos parecen haber sido utilizados de maneras similares, que ha sido para realizar los ataques de reflexión DDoS amplificados.

Este tipo de ataques ocurren cuando un atacante envía una solicitud LDAP o CLDAP a un servidor LDAP con una dirección IP falsa del remitente (IP de la víctima).

Esta prueba de concepto es un ataque de amplificación de anulación del ancho de banda / denegación de servicio de LDAP distribuido, similar a los ataques de amplificación de DNS y NTP, donde el objetivo del DoS es falsificado como IP de origen en una solicitud a los reflectores (en este caso, los servidores LDAP) . Los reflectores responden a la IP de destino falsificada con una respuesta mayor que la pregunta original, lo que da como resultado que el objetivo experimente lo que parece ser un ataque distribuido de denegación de servicio, aunque sólo puede haber una fuente verdadera. Sufre de una vulnerabilidad de denegación de servicio



En base a la consulta LDAP / CLDAP del atacante, el servidor responde con sus propios datos, que inserta en el paquete de respuesta. Debido a que el atacante usó spoofing IP, esta respuesta no solicitada y voluminosa se envía al IP del destino, provocando el ataque DDoS, ya que la máquina de la víctima no puede procesar cantidades masivas de datos LDAP / CLDAP al mismo tiempo.
CLDAP y LDAP DDoS ataques tienen masiva factores de amplificación

Esta es la parte de reflexión del ataque. La parte de amplificación, o el factor de amplificación es el número de veces que un paquete se agranda mientras es procesado por el servidor LDAP.

Tanto para los protocolos LDAP como para CLDAP, este factor de amplificación es bastante importante. Normalmente, otros protocolos susceptibles de ataques de DDoS de reflexión amplificada tienen un factor de amplificación de alrededor de 10, lo que significa que un paquete de 1 byte es rebotado del servidor vulnerable y amplificado a 10 bytes.

Según Corero, para el LDAP, el factor de amplificación es de 46, en promedio, y de hasta 55 en condiciones de pico.

Los ataques de CLDAP son ligeramente más potentes, con un factor de amplificación de 56, en promedio, y 70 en las condiciones máximas.


Se detectaron 50 ataques DDoS usando CLDAP


Akamai dice que desde el 14 de octubre de 2016, cuando se vio el primer ataque DDoS basado en CLDAP, ha habido 50 ataques en total, procedentes de 7.629 reflectores CLDAP únicos (servidores LDAP con puerto 389 expuestos a Internet).

El mayor de esto fue de 24 Gbps, más que suficiente para derribar un sitio web, que suele caer alrededor de 1 Gbps.


La gran mayoría de estos ataques, 33, fueron ataques vectoriales únicos, lo que significa 100% de solicitudes CLDAP puras, sin ningún otro protocolo. Esto es poco común, ya que la mayoría de los ataques DDoS utilizan múltiples protocolos para evitar los sistemas de protección DDoS.

¿Alguien probando un nuevo cañón DDoS?


El bajo número de ataques CLDAP detectados durante los últimos seis meses y el alto porcentaje de ataques DDDs CLDAP puros nos lleva a creer que un actor amenazador estaba probando la factibilidad de CLDAP para ataques DDoS.

Con factores de amplificación que van tan alto como 55 y 70, LDAP y CLDAP pueden ser muy populares con DDoS-for-hire services. Actualmente, hay 250.000 dispositivos con el puerto 389 expuestos a Internet, según Shodan.



En los últimos dos años, los investigadores de seguridad han descubierto otros protocolos susceptibles a ataques de reflexión DDoS amplificados, como NetBIOS, RPC, Sentinel, DNSSEC y TFTP. En general, los protocolos basados en UDP son susceptibles a este tipo de ataques.

Servicios que se utilizan para realizar ataques User Datagram Protocol (udp) amplificados

  • DNS
  • NTP
  • SNMPv2
  • NetBIOS
  • SSDP
  • CharGEN
  • QOTD
  • BitTorrent
  • Kad
  • Quake Network Protocol
  • Steam Protocol
  • RIPv1
  • Multicast DNS (mDNS)
  • Portmap/RPC
  • LDAP
  • Constrained Application Protocol (CoAP)
  • Memcached
  • WS-Discovery

UDP Reflected Attacks

NombrePuerto origen UDP Descripción Poder amplificación
DNS53 (o aleatorio) Domain Name System 28 a 54
CharGEN19 Character Generator Procotol 358.8
Echo7 File search
QOTD17 Quote of the Day 140.3
NTP123 Networt Time Protocol 556.9
SNMP 161 Simple Network Management Protocol 6.3
TFTP 69 Trivial File Transfer Protocol 60
SSDP1900 Simple Service Discovery Protocol32
CLDAP389 Connection-less LDAP 56 hasta 70
Memcached11211 Memcached 200
CoAP5683 Constrained Application Protocol 10 a 50
WS-Discovery3702 Web Services Dynamic Discovery 10 a 500

Protocolo Multiplicador
DNS 28 a 54
NTP 556.9
SNMPv2 6.3
NetBIOS 3.8
SSDP 32
CharGEN 358.8
QOTD 140.3
BitTorrent 3.8
Kad 16.3
Quake Network Protocol 63.9
Steam Protocol 5.5
Multicast DNS (mDNS) 2 a 10
RIPv1 131.24
Portmap (RPCbind) 7 a 28
LDAP 46 a 55
CLDAP 56 a 70
TFTP 60
Memcached 200
CoAP 10 a 50
WS-Discovery 10 a 500

Fuentes:
https://www.bleepingcomputer.com/news/security/cldap-protocol-allows-ddos-attacks-with-70x-amplification-factor/
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/cldap-threat-advisory.pdf

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.