Pourquoi c’est important : un renouvellement des serveurs CLDAP sensibles rend les attaques DDoS plus efficaces et dangereuses. Les administrateurs réseau Windows doivent adopter des pratiques de sécurité strictes ou retirer le serveur du Web s’il n’est pas utile d’utiliser la procédure CLDAP.
Une opération DDoS particulière appelée « attaque par réflexion » découvre une fois de plus une utilisation généralisée par les cybercriminels, abusant des serveurs Microsoft non protégés pour surcharger les sites Web ciblés avec du trafic. Black Lotus Labs garde à l’esprit que le coupable est la version Microsoft du site d’annuaire léger standard de l’industrie Gain d’accès au protocole (LDAP) appelé CLDAP.
Le protocole LDAP est utilisé pour accéder et conserver les services d’informations d’annuaire distribués (comme un système central pour enregistrer les noms d’utilisateur et les mots de passe) sur un réseau IP. Une implémentation CLDAP est comparable mais minimale au système de base de données de site Active Directory utilisé dans la famille Windows Server des systèmes en cours d’exécution. Normalement, les services CLDAP sont activés par défaut dans de nombreuses versions du système d’exploitation, mais ils sont généralement inoffensifs pour les serveurs non liés au Web grand public.
Lorsqu’un appareil CLDAP est en ligne, le service basé sur UDP est sensible aux attaques DDoS par réflexion. Ce vecteur d’attaque usurpe l’adresse IP de la cible et envoie une requête UDP à plusieurs tiers. Ces serveurs répondent ensuite à l’adresse usurpée, qui revient, développant une boucle de rétroaction. Ce type de DDoS amplifie le trafic des dizaines, des centaines ou d’innombrables fois et masque l’adresse IP de l’agresseur.
Les attaques par réflexion abusant des serveurs CLDAP ne sont pas particulièrement nouvelles. Au cours des 12 derniers mois, il y a eu une augmentation de plus de 60 % des abus CLDAP avec plus de 12 000 cas de serveurs « zombifiés ». Black Lotus Labs a déclaré que certains « réflecteurs CLDAP » vivent en ligne depuis longtemps, et que d’autres vont et viennent rapidement.
Les réflecteurs CLDAP les plus problématiques sont ceux que les pirates utilisent depuis des années dans plusieurs DDoS puissants attaques. Black Lotus a dressé le profil de quelques-uns de ces malfaiteurs en série, comme le serveur appartenant à une société spirituelle anonyme qui produisait (entre juillet et septembre 2022) des rafales de trafic allant jusqu’à 17 Gbit/s.
Un autre réflecteur CLDAP situé en Amérique du Nord peut fournir des taux de trafic de pointe de plus de 2 Gbps sur 18 mois. Un troisième service susceptible d’être utilisé par les pirates depuis plus d’un an appartient désormais à un fournisseur de télécommunications nord-américain. Un autre encore en Afrique du Nord, venant d’une organisation régionale de vente au détail, était responsable de neuf mois d’attaques DDoS féroces fournissant jusqu’à 7,8 Gbit/s de trafic.
Black Lotus suggère que si un serveur CLDAP doit absolument rester en ligne, les administrateurs réseau doivent prendre des « inconforts » pour le sécuriser en coupant l’assistance UDP, en restreignant le trafic généré sur le port 389, en utilisant des programmes de pare-feu ou en mettant en œuvre des mesures innovantes pour empêcher le trafic IP usurpé comme le Reverse Course Forwarding (RPF).
Toute l’actualité en temps réel, est sur L’Entrepreneur
