Aurich Lawson/Getty
Una pequeña empresa minorista en el norte de África, un proveedor de telecomunicaciones de América del Norte y dos organizaciones religiosas independientes: ¿qué tienen en común? Todos están ejecutando servidores de Microsoft mal configurados que durante meses o años han estado rociando Internet con gigabytes por segundo de datos basura en ataques distribuidos de denegación de servicio diseñados para interrumpir o eliminar por completo sitios web y servicios.
En todo, investigación publicada recientemente de Black Lotus Labs, el brazo de investigación de la empresa de tecnología de redes y aplicaciones Lumen, identificó más de 12 000 servidores (todos con controladores de dominio de Microsoft que alojan los servicios de Active Directory de la empresa) que se usaban regularmente para aumentar el tamaño de los ataques de denegación de servicio distribuidos. ataques o DDoS.
Una carrera armamentista interminable
Durante décadas, los DDoSers han luchado contra los defensores en una carrera armamentista constante e interminable. Al principio, los DDoSers simplemente acorralaron un número cada vez mayor de dispositivos conectados a Internet en botnets y luego los usaron para enviar simultáneamente a un objetivo más datos de los que pueden manejar. Los objetivos, ya sean compañías de juegos, periodistas o incluso pilares cruciales de la infraestructura de Internet, a menudo cedieron ante la tensión y se derrumbaron por completo o se ralentizaron hasta reducirse a un goteo.
Compañías como Lumen, Netscout, Cloudflare y Akamai luego respondieron con defensas que filtraron el tráfico basura, lo que permitió a sus clientes soportar los torrentes. Los DDoSers respondieron implementando nuevos tipos de ataques que bloquearon temporalmente esas defensas. La carrera sigue desarrollándose.
Uno de los principales métodos que utilizan los DDoSers para ganar ventaja se conoce como reflexión. En lugar de enviar el torrente de tráfico basura directamente al objetivo, los DDoSers envían solicitudes de red a uno o más terceros. Al elegir a terceros con configuraciones erróneas conocidas en sus redes y falsificar las solicitudes para dar la apariencia de que fueron enviadas por el objetivo, los terceros terminan reflejando los datos en el objetivo, a menudo en tamaños de decenas, cientos o incluso miles de veces más grande que la carga útil original.
Algunos de los reflectores más conocidos son servidores mal configurados que ejecutan servicios como resolutores de DNS abiertos, el protocolo de tiempo de red, memcached para el almacenamiento en caché de bases de datos y el protocolo WS-Discovery que se encuentra en los dispositivos de Internet de las cosas. También conocidas como ataques de amplificación, estas técnicas de reflexión permiten que las redes de bots más pequeñas entreguen DDoS sin precedentes.
Cuando atacan los controladores de dominio
Durante el último año, una fuente creciente de ataques de reflexión ha sido el Protocolo ligero de acceso a directorios sin conexión. Una derivación de Microsoft del estándar de la industria Protocolo ligero de acceso a directoriosCLDAP utiliza paquetes de protocolo de datagramas de usuario para que los clientes de Windows puedan descubrir servicios para autenticar a los usuarios.
“Muchas versiones de MS Server que todavía están en funcionamiento tienen un servicio CLDAP activado de forma predeterminada”, escribió Chad Davis, investigador de Black Lotus Labs, en un correo electrónico. “Cuando estos controladores de dominio no están expuestos a la Internet abierta (lo cual es cierto para la gran mayoría de las implementaciones), este servicio UDP es inofensivo. Pero en la Internet abierta, todos los servicios UDP son vulnerables a la reflexión”.
DDoSers lo han estado usando desde al menos 2017 para ampliar los torrentes de datos por un factor de 56 a 70, lo que lo convierte en uno de los reflectores más potentes disponibles. Cuando se descubrió por primera vez la reflexión de CLDAP, la cantidad de servidores que exponían el servicio a Internet era de decenas de miles. Después de llamar la atención del público, el número se redujo. Sin embargo, desde 2020, el número ha vuelto a aumentar, con un aumento del 60 por ciento solo en los últimos 12 meses, según Black Lotus Labs.
El investigador pasó a perfilar cuatro de esos servidores. El más destructivo estaba afiliado a una organización religiosa no identificada y genera rutinariamente torrentes de tamaños impensables de tráfico DDoS reflejado. Como muestra la siguiente figura, esta fuente fue responsable de numerosas ráfagas entre julio y septiembre, cuatro de las cuales superaron los 10 Gbps y una se acercó a los 17 Gbps.