Breaking News

นักวิจัยค้นพบวิธีใช้ LDAP ในการทำ DDoS ใส่เป้าหมาย ขยาย Traffic ได้สูงสุด 55 เท่า

LDAP บน Public IP สามารถถูกนำมาใช้ทำ DDoS ได้ แนะนำให้ปิดพอร์ตหรือตั้ง Firewall ป้องกันโดยด่วน

Credit: Duc Dao/ShutterStock
Credit: Duc Dao/ShutterStock

Dave Larson แห่ง Corero Network Security นั้นได้ตรวจพบการทำ DDoS ที่ระดับ 22Gbps, 28Gbps และ 70Gbps ในช่วงวันศุกร์และวันเสาร์ที่ผ่านมา และพบว่าการโจมตีเหล่านั้นใช้ช่องโหว่ของ Lightweight Directory Access Protocol หรือ LDAP ในการโจมตี ซึ่งถ้าหากนำการโจมตีนี้ไปผสมกับ Mirai Botnet แล้วน่าจะสร้างความเสียหายได้ถึงหลักเกินกว่า 10Tbps ได้เลยทีเดียว

การโจมตีนี้เริ่มต้นจากการค้นหาระบบที่มีการเปิดพอร์ต 389 สำหรับทำการเชื่อมต่อ LDAP แบบ Connectionless เอาไว้ จากนั้นจึงทำการ Spoof IP Address เป็น IP ของเป้าหมายที่ต้องการโจมตี แล้วทำการ Query ไปยัง Server เหล่านั้น เพียงเท่านี้ก็จะสามารถทำ DoS ได้อย่างง่ายๆ ด้วย Traffic ปริมาณมหาศาลแล้ว โดยจากการทดสอบนั้นพบว่า Traffic นั้นถูก Amplify ขึ้นไปโดยเฉลี่ย 46 เท่า และสูงสุดเพิ่มขึ้นถึง 55 เท่าเลยทีเดียว

แนวทางป้องกันนั้นก็คือเหล่าผู้ให้บริการหรือเจ้าของ Server นั้นไม่ควรเปิดให้ระบบภายนอกเชื่อมต่อเข้ามายัง LDAP ของระบบภายในได้เลย รวมถึงการตั้ง Firewall Policy ก็ควรมีความรัดกุมในการเปิดให้บริการพอร์ต 389 ด้วยเช่นกัน

ISP ในไทยก็ลองนำแนวทางนี้ไปปรับใช้กันได้นะครับ

ที่มา: http://www.scmagazine.com/zero-day-ddos-attack-vector-leverages-ldap-to-amplify-malicious-traffic/article/568225/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงานสัมมนา Age of Data Privacy, Trust & Security โดย Bay Computing

Bay Computing ผู้ให้บริการและที่ปรึกษาด้านระบบความมั่นคงปลอดภัยไซเบอร์ชื่อดัง จัดงานสัมมนา Bay Cybersecurity Day 2019 ภายใต้ธีม Age of Data Privacy, Trust & …

LastPass ออกแพตช์ช่องโหว่เสี่ยงถูกขโมย Credential แนะควรอัปเดต

สำหรับผู้ใช้งาน LastPass บน Chrome และ Opera ได้มีการประกาศออกแพตช์ให้ช่องโหว่ที่นำไปสู่การขโมย Credential จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต