Los servidores CLDAP que tienen vulnerabilidades conocidas están ayudando a amplificar los ataques DDoS. Los administradores de redes de Windows deberían asegurar el servidor o desconectarlo si no es necesario utilizar CLDAP.
Los ciberdelincuentes están lanzando “ataques de reflexión” contra sitios web específicos, aprovechando la inseguridad de los servidores de Microsoft. CLDAP, que es la implementación de Microsoft de LDAP, es el culpable, según Black Lotus Labs.
El acceso y mantenimiento de los servicios de información de directorios distribuidos, como un sistema central de nombres de usuario y contraseñas, es responsabilidad del protocolo LDAP, que opera a través de redes IP. CLDAP es análogo al sistema de base de datos Active Directory que viene con Windows Server, aunque tiene menos funciones. Los servicios CLDAP están habilitados por defecto en varias versiones del sistema operativo; sin embargo, estos servicios no suponen ningún riesgo para los sistemas que no están conectados a Internet.
Cuando los dispositivos CLDAP están operativos, los ataques DDoS de reflexión pueden dirigirse a los servicios basados en UDP, haciéndolos susceptibles a dichos ataques. Este vector de ataque hace uso de la dirección IP del objetivo para transmitir peticiones UDP a terceros. Como consecuencia de que los servidores responden a la IP falsificada, se crea un bucle de retroalimentación. Este ataque de denegación de servicio distribuido puede multiplicar la cantidad de tráfico por decenas, cientos o miles, al tiempo que oculta la dirección IP del atacante.
Los ataques de reflexión al servidor CLDAP existen desde hace tiempo. El número de servidores CLDAP que han sido “zombificados” ha aumentado un 60% en el último año, llegando a más de 12.000. Black Lotus Labs descubrió que algunos “reflectores CLDAP” permanecen durante un largo periodo de tiempo, mientras que otros desaparecen en poco tiempo.
Lo más molesto son los reflectores CLDAP que utilizan los hackers. Black Lotus descubrió pruebas de infractores reincidentes, uno de los cuales era el servidor de una organización religiosa desconocida que fue responsable de picos de tráfico de 17Gbps entre julio y septiembre de 2022.
Otro reflector CLDAP en Norteamérica alcanzó picos de tráfico de más de 2 Gigabits por segundo durante un periodo de 18 meses. Los piratas informáticos han podido acceder a un servicio de terceros susceptible de ser proporcionado por un operador de telecomunicaciones norteamericano durante más de un año. Los ataques DDoS contra otro operador norteafricano produjeron hasta 7,8 Gbps durante un periodo de nueve meses.
Si un servidor CLDAP debe permanecer absolutamente en línea, Black Lotus recomienda que los administradores de red “se esfuercen” por asegurarlo deshabilitando el soporte para UDP, restringiendo el tráfico en el puerto 389, implementando cortafuegos o aplicando el reenvío de ruta inversa para evitar el tráfico IP falsificado (RPF).