Akamai identifica un nuevo método de ataque de reflexión
Akamai Technologies, el líder global en servicios de CDN, Content Delivery Network o Red de Entrega de Contenidos, acaba de publicar una nueva investigación elaborada por su equipo de respuesta con inteligencia de seguridad, SIRT.
Los investigadores de Akamai, Jose Arteaga y Wilber Majia, han identificado un nuevo método de amplificación y reflexión del protocolo ligero de acceso a directorios sin conexión (CLDAP). El SIRT de Akamai ha observado que este vector de ataque genera ataques distribuidos de denegación de servicio (DDoS) que suelen ser superiores a 1 Gbps y son similares a los ataques de reflexión de sistema de nombres de dominio (DNS).
Descripción general
Al contrario que en otros vectores basados en la reflexión en los que el número de hosts en riesgo asciende a millones, el factor de amplificación de CLDAP observado ha producido un ancho de banda de ataque significativo con un número de hosts mucho menor.
Desde octubre de 2016, Akamai ha detectado y mitigado un total de 50 ataques de reflexión de CLDAP, 33 de los cuales eran ataques de vector único en los que se utilizaba la reflexión de CLDAP exclusivamente. El ataque de 24 Gbps que mitigó Akamai el 7 de enero de 2017 es el mayor ataque DDoS mediante reflexión de CLDAP como vector único que ha observado el SIRT hasta el momento. El ancho de banda medio de los ataques de CLDAP ha sido de 3 Gbps.
Aunque el sector de los videojuegos suele ser el objetivo principal de los ataques DDoS, los ataques de CLDAP que se han observado han tenido como objetivo los sectores de software y tecnología principalmente. Otros sectores afectados son los de Internet, las telecomunicaciones, los medios, el entretenimiento, la educación, el retail, los bienes de consumo y los servicios financieros.
La mayor concentración de reflectores de CLDAP únicos de los que se tiene noticia en un ataque se produjo en Estados Unidos.
Mitigación
Como muchos otros vectores de ataque de amplificación y reflexión, no sería posible llevar a cabo los ataques de CLDAP si las organizaciones establecieran un filtro de entrada adecuado. Los hosts potenciales se detectan mediante los análisis de Internet y el filtrado del puerto de destino 389 del protocolo de datagramas de usuario (UDP).
Akamai ha observado un total de 7.629 reflectores de ataques de CLDAP únicos basados en fuentes recopiladas durante ataques de reflexión de CLDAP reales. Sin embargo, el número de reflectores de CLDAP que se pueden utilizar supera esta cifra, como revela el análisis de Internet. A menos que una organización tenga una necesidad legítima de contar con un CLDAP disponible en Internet, no debería existir ninguna razón para agravar el problema de la reflexión DDoS mediante la exposición de este protocolo. Cuando se identifica un servidor como una fuente viable para un ataque de reflexión de CLDAP, Akamai lo añade a la lista de reflectores conocidos para evitar el subsiguiente abuso de este servicio.
"Más del 50 % de los ataques consiste siempre en ataques de reflexión basados en UDP", explica Jose Arteaga, del equipo de respuesta con inteligencia de seguridad de Akamai. "Dadas las similitudes que se observan con las secuencias de comandos de ataque de reflexión UDP, el CLDAP probablemente se haya incluido, o se incluirá, en una secuencia de comandos de ataque completa y se integre en una infraestructura de booter/stresser. En el caso de que todavía no se haya incluido, es probable que los peores ataques estén por venir".