Breaking News

นักวิจัยค้นพบวิธีใช้ LDAP ในการทำ DDoS ใส่เป้าหมาย ขยาย Traffic ได้สูงสุด 55 เท่า

LDAP บน Public IP สามารถถูกนำมาใช้ทำ DDoS ได้ แนะนำให้ปิดพอร์ตหรือตั้ง Firewall ป้องกันโดยด่วน

Credit: Duc Dao/ShutterStock
Credit: Duc Dao/ShutterStock

Dave Larson แห่ง Corero Network Security นั้นได้ตรวจพบการทำ DDoS ที่ระดับ 22Gbps, 28Gbps และ 70Gbps ในช่วงวันศุกร์และวันเสาร์ที่ผ่านมา และพบว่าการโจมตีเหล่านั้นใช้ช่องโหว่ของ Lightweight Directory Access Protocol หรือ LDAP ในการโจมตี ซึ่งถ้าหากนำการโจมตีนี้ไปผสมกับ Mirai Botnet แล้วน่าจะสร้างความเสียหายได้ถึงหลักเกินกว่า 10Tbps ได้เลยทีเดียว

การโจมตีนี้เริ่มต้นจากการค้นหาระบบที่มีการเปิดพอร์ต 389 สำหรับทำการเชื่อมต่อ LDAP แบบ Connectionless เอาไว้ จากนั้นจึงทำการ Spoof IP Address เป็น IP ของเป้าหมายที่ต้องการโจมตี แล้วทำการ Query ไปยัง Server เหล่านั้น เพียงเท่านี้ก็จะสามารถทำ DoS ได้อย่างง่ายๆ ด้วย Traffic ปริมาณมหาศาลแล้ว โดยจากการทดสอบนั้นพบว่า Traffic นั้นถูก Amplify ขึ้นไปโดยเฉลี่ย 46 เท่า และสูงสุดเพิ่มขึ้นถึง 55 เท่าเลยทีเดียว

แนวทางป้องกันนั้นก็คือเหล่าผู้ให้บริการหรือเจ้าของ Server นั้นไม่ควรเปิดให้ระบบภายนอกเชื่อมต่อเข้ามายัง LDAP ของระบบภายในได้เลย รวมถึงการตั้ง Firewall Policy ก็ควรมีความรัดกุมในการเปิดให้บริการพอร์ต 389 ด้วยเช่นกัน

ISP ในไทยก็ลองนำแนวทางนี้ไปปรับใช้กันได้นะครับ

ที่มา: http://www.scmagazine.com/zero-day-ddos-attack-vector-leverages-ldap-to-amplify-malicious-traffic/article/568225/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนพบช่องโหว่ร้ายแรงบนปลั๊กอินของ WordPress แนะผู้ใช้เร่งอัปเดต

WebARX ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ WordPress ได้พบช่องโหว่ร้ายแรงบนปลั๊กอินจาก ThemeGrill ซึ่งทำให้ผู้โจมตีสามารถรีเซ็ตค่าฐานข้อมูลกลับเป็น Default หรือพูดง่ายๆ ว่าข้อมูลหายเรียบ

ผู้เชี่ยวชาญเผยกลุ่มแฮ็กเกอร์อิหร่านใช้ช่องโหว่เซิร์ฟเวอร์ VPN ลอบเข้าฝัง Backdoor

ClearSky บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์จากอิสราเอลได้เปิดเผยข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์จากอิหร่านว่าที่ผ่านมาได้มุ่งโจมตีเซิร์ฟเวอร์ VPN ด้วยช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะเช่นที่เกิดขึ้นกับผลิตภัณฑ์ Fortinet, Palo Alto Networks, Pulse Secure และ Citrix