Se ha descubierto que se abusa de más de 12 000 servidores de Microsoft mal configurados para llevar a cabo una denegación de servicio distribuida impresionantemente potente (DDoS). (se abre en una pestaña nueva)) ataques.
Los investigadores de seguridad cibernética de Black Lotus Labs descubrieron un total de 12 142 servidores con controladores de dominio de Microsoft que alojan los servicios de Active Directory de la empresa que estaban siendo utilizados por múltiples variantes de malware para aumentar el tamaño de los ataques DDoS.
Los servidores pertenecen a todo tipo de organizaciones, desde religiosas en América del Norte hasta entidades comerciales en el norte de África.
abusado durante meses
Algunos de los más poderosos superaron los 10 Gbps en tráfico basura y alcanzaron hasta 17 Gbps, dijeron los investigadores. Hablando a Ars Technica en un correo electrónico, el investigador de Black Lotus Lab, Chad Davis, dijo que el tráfico era lo suficientemente fuerte como para hacer DoS en algunos servidores menos aprovisionados «por sí solo». “En teoría, cien de estos, trabajando al unísono, podrían generar un Terabit por segundo de tráfico de ataque”, dijo.
Algunos de estos servidores fueron abusados durante meses, según descubrieron los investigadores. Uno, descubierto en América del Norte, estuvo enviando gigas de tráfico basura durante 18 meses, alcanzando un máximo de 2 Gbps.
¿Cómo fueron capaces de producir un rendimiento tan alto? Sirviendo como amplificadores o reflectores. En lugar de usar los puntos finales del servidor comprometido (se abre en una pestaña nueva) Para enviar tráfico basura a los objetivos directamente y, por lo tanto, correr el riesgo de ser detectados, los atacantes primero enviarían solicitudes de red a terceros. Si esos terceros estuvieran mal configurados en sus redes, como lo estaban estos servidores, las solicitudes podrían falsificarse como si vinieran de esos mismos terceros. No solo eso, sino que los servidores podrían reflejar los datos en el destino en tamaños miles de veces mayores que la carga útil original.
De acuerdo a Ars Technicaalgunos de los reflectores más populares son servidores mal configurados que ejecutan resolutores de DNS abiertos, el protocolo de tiempo de red, Memcached para el almacenamiento en caché de la base de datos y el protocolo WS-Discovery que generalmente se encuentra en los dispositivos IoT.
Más recientemente, los actores de amenazas comenzaron a utilizar el Protocolo ligero de acceso a directorios sin conexión (CLDAP) como fuente de ataques de reflexión. Como variante de Microsoft del Protocolo ligero de acceso a directorios, CLDAP utiliza paquetes de Protocolo de datagramas de usuario para que los clientes de Windows puedan descubrir servicios para autenticar a los usuarios, explica la publicación. Aparentemente, los actores de amenazas han estado usando este protocolo durante cinco años, aumentando los torrentes de datos hasta 70 veces.
El informe completo se puede encontrar en este enlace (se abre en una pestaña nueva).
Vía: Ars Technica (se abre en una pestaña nueva)