O ressurgimento de servidores CLDAP vulneráveis está tornando os ataques DDoS mais poderosos e perigosos. Os administradores de rede Windows devem adotar práticas rígidas de segurança ou retirar o servidor da Internet se não houver necessidade prática de usar o protocolo CLDAP.
Uma operação DDoS específica conhecida como “ataque de reflexão” está novamente sendo amplamente utilizada por criminosos cibernéticos, abusando de servidores desprotegidos da Microsoft para sobrecarregar sites direcionados com tráfego. A Black Lotus Labs observa que o culpado é a variante da Microsoft do Lightweight Directory Access Protocol (LDAP) padrão do setor, conhecido como CLDAP.
O protocolo LDAP é usado para acessar e manter serviços de informações de diretório distribuído (como um sistema central para armazenar nomes de usuário e senhas) em uma rede IP. Uma implementação de CLDAP é semelhante, mas limitada ao sistema de banco de dados do Active Directory usado na família de sistemas operacionais Windows Server. De um modo geral, os serviços CLDAP estão ativados por padrão em muitas versões do sistema operacional, mas geralmente são inofensivos para servidores não conectados à Internet pública.
No entanto, quando uma máquina CLDAP está online, o serviço baseado em UDP fica vulnerável a ataques DDoS de reflexão. Esse vetor de ataque falsifica o endereço IP do alvo e envia uma solicitação UDP para um ou mais terceiros. Esses servidores então respondem ao endereço falsificado, que reflete de volta, criando um loop de feedback. Esse tipo de DDoS amplifica o tráfego dezenas, centenas ou milhares de vezes e oculta o IP do invasor.
Os ataques de reflexão que abusam dos servidores CLDAP não são particularmente novos. Nos últimos 12 meses, houve um aumento de mais de 60% no abuso de CLDAP com mais de 12.000 instâncias de servidores “zombificados”. A Black Lotus Labs disse que alguns “refletores CLDAP” vivem online há muito tempo, e outros vêm e vão rapidamente.
Os refletores CLDAP mais problemáticos são os que os hackers usam há anos em vários ataques DDoS poderosos. A Black Lotus perfilou alguns desses criminosos em série, como o servidor pertencente a uma organização religiosa sem nome que estava gerando (entre julho e setembro de 2022) picos de tráfego de até 17 Gbps.
Outro refletor CLDAP localizado na América do Norte foi capaz de fornecer taxas de tráfego de pico de mais de 2 Gbps em 18 meses. Um terceiro serviço vulnerável que os hackers exploram há mais de um ano agora pertence a um provedor de telecomunicações norte-americano. Ainda outro no norte da África, pertencente a um negócio regional de varejo, foi responsável por nove meses de ataques DDoS ferozes, entregando até 7,8 Gbps de tráfego.
A Black Lotus sugere que, se um servidor CLDAP precisar ficar online, os administradores de rede devem se esforçar para protegê-lo desligando o suporte UDP, limitando o tráfego gerado na porta 389, usando firewalls ou implementando algumas medidas avançadas para evitar IP falsificado tráfego como Reverse Path Forwarding (RPF).
