Aurich Lawson/Getty
Una pequeña empresa minorista en el norte de África, un proveedor de telecomunicaciones de América del Norte y dos organizaciones religiosas independientes: ¿qué tienen en común? Todos están ejecutando servidores de Microsoft mal configurados que durante meses o años han estado rociando Internet con gigabytes por segundo de datos basura en ataques distribuidos de denegación de servicio diseñados para interrumpir o eliminar por completo sitios web y servicios.
En total, una investigación publicada recientemente por Black Lotus Labs, el brazo de investigación de la empresa de tecnología de redes y aplicaciones Lumen, identificó más de 12 000 servidores (todos con controladores de dominio de Microsoft que alojan los servicios de Active Directory de la empresa) que se usaban regularmente para aumentar el tamaño de los servicios distribuidos. -Ataques de denegación de servicio o DDoS.
Una carrera armamentista interminable
Durante décadas, los DDoSers han luchado contra los defensores en una carrera armamentista sin fin. Al principio, los DDoSers simplemente acorralaron un número cada vez mayor de dispositivos conectados a Internet en botnets y luego los usaron para enviar simultáneamente a un objetivo más datos de los que podía manejar. Los objetivos, ya sean juegos, sitios nuevos o incluso pilares cruciales de la infraestructura de Internet, a menudo cedieron ante la tensión y se derrumbaron por completo o se redujeron a un goteo.
Compañías como Lumen, Netscout, Cloudflare y Akamai luego respondieron con defensas que filtraron el tráfico basura, lo que permitió a sus clientes soportar los torrentes. Los DDoSers respondieron implementando nuevos tipos de ataques que bloquearon temporalmente esas defensas. La carrera sigue desarrollándose.
Uno de los principales métodos que utilizan los DDoSers para ganar ventaja se conoce como reflexión. En lugar de enviar el torrente de tráfico basura directamente al objetivo, los DDoSers envían solicitudes de red a uno o más terceros. Al elegir terceros con configuraciones incorrectas conocidas en sus redes y falsificar las solicitudes para dar la apariencia de que fueron enviadas por el objetivo, los terceros terminan reflejando los datos en el objetivo, a menudo en tamaños de decenas, cientos o incluso miles. de veces más grande que la carga útil original.
Algunos de los reflectores más conocidos son servidores mal configurados que ejecutan servicios como resoluciones de DNS abiertas, el protocolo de tiempo de red, Memcached para el almacenamiento en caché de bases de datos y el protocolo WS-Discovery que se encuentra en los dispositivos de Internet de las cosas. También conocidas como ataques de amplificación, estas técnicas de reflexión permiten que las redes de bots más pequeñas entreguen DDoS sin precedentes.
Cuando atacan los controladores de dominio
Durante el último año, una fuente creciente de ataques de reflexión ha sido el Protocolo ligero de acceso a directorios sin conexión. Una derivación de Microsoft del protocolo ligero de acceso a directorios estándar de la industria, CLDAP utiliza paquetes de protocolo de datagramas de usuario para que los clientes de Windows puedan descubrir servicios para autenticar a los usuarios.
“Muchas versiones de MS Server que todavía están en funcionamiento tienen un servicio CLDAP activado de forma predeterminada”, escribió Chad Davis, investigador de Black Lotus Labs, en un correo electrónico. “Cuando estos controladores de dominio no están expuestos a la Internet abierta (lo cual es cierto para la gran mayoría de las implementaciones), este servicio UDP es inofensivo. Pero en la Internet abierta, todos los servicios UDP son vulnerables a la reflexión”.
Los usuarios de DDoS han estado utilizando el protocolo desde al menos 2017 para aumentar los torrentes de datos en un factor de 56 a 70, lo que lo convierte en uno de los reflectores más potentes disponibles. Cuando se descubrió por primera vez la reflexión de CLDAP, la cantidad de servidores que exponían el servicio a Internet era de decenas de miles. Después de llamar la atención del público, el número se redujo. Sin embargo, desde 2020, el número ha vuelto a aumentar, con un aumento del 60 por ciento solo en los últimos 12 meses, según Black Lotus Labs.