นักวิจัยค้นพบวิธีใช้ LDAP ในการทำ DDoS ใส่เป้าหมาย ขยาย Traffic ได้สูงสุด 55 เท่า

LDAP บน Public IP สามารถถูกนำมาใช้ทำ DDoS ได้ แนะนำให้ปิดพอร์ตหรือตั้ง Firewall ป้องกันโดยด่วน

Credit: Duc Dao/ShutterStock
Credit: Duc Dao/ShutterStock

Dave Larson แห่ง Corero Network Security นั้นได้ตรวจพบการทำ DDoS ที่ระดับ 22Gbps, 28Gbps และ 70Gbps ในช่วงวันศุกร์และวันเสาร์ที่ผ่านมา และพบว่าการโจมตีเหล่านั้นใช้ช่องโหว่ของ Lightweight Directory Access Protocol หรือ LDAP ในการโจมตี ซึ่งถ้าหากนำการโจมตีนี้ไปผสมกับ Mirai Botnet แล้วน่าจะสร้างความเสียหายได้ถึงหลักเกินกว่า 10Tbps ได้เลยทีเดียว

การโจมตีนี้เริ่มต้นจากการค้นหาระบบที่มีการเปิดพอร์ต 389 สำหรับทำการเชื่อมต่อ LDAP แบบ Connectionless เอาไว้ จากนั้นจึงทำการ Spoof IP Address เป็น IP ของเป้าหมายที่ต้องการโจมตี แล้วทำการ Query ไปยัง Server เหล่านั้น เพียงเท่านี้ก็จะสามารถทำ DoS ได้อย่างง่ายๆ ด้วย Traffic ปริมาณมหาศาลแล้ว โดยจากการทดสอบนั้นพบว่า Traffic นั้นถูก Amplify ขึ้นไปโดยเฉลี่ย 46 เท่า และสูงสุดเพิ่มขึ้นถึง 55 เท่าเลยทีเดียว

แนวทางป้องกันนั้นก็คือเหล่าผู้ให้บริการหรือเจ้าของ Server นั้นไม่ควรเปิดให้ระบบภายนอกเชื่อมต่อเข้ามายัง LDAP ของระบบภายในได้เลย รวมถึงการตั้ง Firewall Policy ก็ควรมีความรัดกุมในการเปิดให้บริการพอร์ต 389 ด้วยเช่นกัน

ISP ในไทยก็ลองนำแนวทางนี้ไปปรับใช้กันได้นะครับ

ที่มา: http://www.scmagazine.com/zero-day-ddos-attack-vector-leverages-ldap-to-amplify-malicious-traffic/article/568225/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NSA เผย 25 ช่องโหว่ที่ถูกใช้มากที่สุดโดยแฮ็คเกอร์ชาวจีนซึ่งได้รับการสนับสนุนจากภาครัฐ

U.S. National Security Agency หรือ NSA ได้ออกมาแจ้งเตือนถึงช่องโหว่ 25 รายการที่ถูกใช้งานมากที่สุดโดยแฮ็คเกอร์ชาวจีนที่ได้รับการสนับสนุนจากระดับภาครัฐ เพื่อใช้โจมตีหน่วยงานต่างๆ ของสหรัฐอเมริกา โดยช่องโหว่ที่หลากหลายเหล่านี้ถูกใช้งานในลำดับขั้นของการโจมตีที่แตกต่างกันออกไป ดังนี้

Microsoft ออกแพตช์เร่งด่วนอุดช่องโหว่ให้ Windows และ Visual Studio Code

Microsoft ได้ออกแพตช์นอกรอบเพื่ออุดช่องโหว่ให้ Windows Codec Library และ Visual Studio Code โดยการประกาศครั้งนี้มาพร้อมคำเตือนจาก CISA ในเวลาต่อมา จึงแนะนำให้ผู้ใช้ควรอัปเดตครับ