Il protocollo CLDAP è una manna per i pirati

Mag 08, 2017 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0

Un arsenale a disposizione dei pirati

Stando ai dati raccolti da Akamai, negli ultimi mesi CLDAP è stato utilizzato in maniera intensiva dai pirati informatici per portare attacchi DDoS che hanno raggiunto picchi di 24 Gbps.

La presenza di server che utilizzano CLDAP, quindi, rappresenta in pratica un vero e proprio arsenale informatico disponibile per i cyber-criminali che vogliono portare attacchi DDoS.

“Gli attacchi non impattano soltanto sulle vittime” spiega Buttiglione. “Anche chi gestisce i server che vengono usati come reflector subisce dei danni che è un errore sottovalutare”.

Nel dettaglio, chi viene coinvolto in questo tipo di attacco paga un prezzo sia in termini di banda, sia in termini di risorse impegnate. In pratica è come se stesse lavorando gratis per i pirati informatici, fornendogli risorse che vengono sottratte alle normali attività dell’azienda.

Non solo: il coinvolgimento nello schema espone anche al rischio di “danni collaterali” che possono danneggiare più o meno direttamente l’attività delle società coinvolte.

“La community ha dei sistemi per reagire agli attacchi DDoS” spiega sempre Buttiglione. “Tra questi l’applicazione di filtri e la creazione di black list che isolano le fonti degli attacchi”.

Quando si tratta di attacchi che usano la reflection, però, queste contromisure non colpiscono i computer dei pirati, ma le aziende i cui server vengono usati come reflector.

Le infrastrutture sfruttate in questo modo rischiano infatti di essere considerate pericolose ed essere sottoposte a misure di mitigazione che possono anche ripercuotersi sul funzionamento dei servizi.

Ma com’è possibile tutto questo? “Purtroppo la presenza di CLDAP è prevista come impostazione predefinita in tutti i casi in cui viene utilizzato Active Directory” spiega Buttiglione. “Per escludere il protocollo è necessario un intervento degli amministratori IT, che dovrebbero impostare firewall e infrastrutture per bloccarne le comunicazioni verso Internet”.

Nonostante esponga al rischio di essere sfruttato come strumento per attacchi basati sulla reflection, ci sono migliaia di macchine in tutto il mondo che espongono un servizio CLDAP su Internet.

Il problema quindi si potrebbe risolvere in maniera piuttosto semplice. Tanto più che chi gestisce i sistemi informatici di questo tipo, come abbiamo visto, ha tutto l’interesse a farlo.

Al di là delle motivazioni “altruistiche” che dovrebbero portare a collaborare con il massimo sforzo per sottrarre strumenti utili all’azione dei cyber-criminali, infatti, a smuovere gli amministratori dovrebbe essere anche un interesse più “egoistico” a impedire che le infrastrutture aziendali siano usate in maniera impropria, esponendo la stessa società a subire dei danni.

Ma nella pratica, cosa si dovrebbe fare per bloccare la possibilità di questi attacchi? “La cosa migliore nel caso di CLADAP è quella di chiudere completamente il servizio. Più in generale, per impedire gli attacchi di reflection è consigliabile implementare delle regole che permettano di individuare questo tipo di attacchi e reagire di conseguenza” spiega Buttiglione.

“Meglio però non bloccare la connessione, perché in questo caso l’attaccante può semplicemente eseguire delle variazioni per aggirare il blocco. Una delle contromisure più efficaci è quella di utilizzare il Tarpit, cioè tenere aperta la connessione ma non inviare risposte, in modo da neutralizzare l’attacco”.

Si tratta di una soluzione utilizzata per mitigare altri attacchi simili, come quelli che prendono di mira i server DNS. Nel caso di CLDAP, però, la sensibilità degli operatori è ancora troppo bassa.

“L’anno scorso abbiamo individuato circa 78.000 indirizzi IP con il servizio CLDAP attivo. Considerato che sono pochissime le aziende che hanno davvero bisogno di questo servizio attivo su Internet, si potrebbe ridurre enormemente la superficie d’attacco con pochissimo sforzo”.

Condividi l'articolo