DDoS : l’avènement de la réflexion CLDAP

Les campagnes d’attaque en déni de service distribué ont atteint des volumétries considérables. Une nouvelle méthode d’attaque par réflexion utilisant le protocole CLDAP pourrait permettre à des acteurs malveillants d’aller au-delà en impliquant moins d’appareils. 

Jose Arteaga et Wilber Mejia, chercheurs en menaces chez Akamai, ont identifié des attaques utilisant le protocole de service d’annuaire Connection-less Lightweight Directory Access (CLDAP) comme support à des réflexions. Le phénomène n’apparaît pas encore très répandu : depuis le mois d’octobre dernier, c’est une cinquantaine d’attaques de ce type que les équipes d’Akamai indiquent avoir contré, dont 33 utilisant la réflexion CLDAP comme seul vecteur. Avec une spécificité : « alors l’industrie du jeu en ligne est généralement la plus visée par les attaques [DDoS], les attaques CLDAP observées ont principalement visé l’industrie du logiciel et des nouvelles technologies, aux côtés de six autres secteurs d’activité ». 

La méthode d’attaque par réflexion CLDAP a été découverte initialement par Corero Network Security à l’automne dernier, qui l’estimait capable à l’époque de produire un facteur d’amplification de la réponse initiale de 46 à 55 en volume. Soit de quoi permettre des attaques particulièrement efficaces avec un petit nombre de sources impliquées. 

L’attaque de ce type la plus importante observée par Akamai, avec la réflexion CLDAP comme seul vecteur, s’est appuyée sur une charge de 52 octets amplifiée 70 fois. Elle a consommé une bande passante en crête de 24 Gbps, pour 2 millions de paquets par seconde.  

C’est bien moins que les crêtes observées avec Mirai. Mais Jake Williams, fondateur du cabinet de conseil Rendition InfoSec estime que le facteur d’amplification observé peut permettre « à un utilisateur avec une bande passante limitée d’attaquer en DDoS une organisation disposant d’une bande passante bien plus importante ». 

Et d’expliquer à SearchSecurity (groupe TechTarget) que, comme pour les attaques DDoS s’appuyant sur les DNS, « l’attaquant dispose d’une bande passante relativement faible. Mais en envoyant un petit message au serveur et en usurpant la source, on pousse le serveur à envoyer une réponse bien plus grande à la victime. Il n’est possible d’usurper effectivement la source qu’avec les protocoles sans connexion, ce qui fait de CLDAP un bon candidat ». 

Arteaga et Mejia relève que les entreprises peuvent limiter le risque de tels attaques assez aisément, en bloquant des ports spécifiques : « comme pour de nombreuses attaques par réflexion et amplification, celle-ci est impossible si un filtrage entrant approprié est en place ». Dans ce cas particulier, il s’agit du port UDP 389.   

Williams confirme que le filtrage entrant peut aider et relève en outre que CLDAP ne compte plus parmi les protocoles standards de l’IETF depuis 2003. Mais les entreprises utilisant Active Directory doivent être au courant du risque : « Active Directory supporte CLDAP est c’est probablement la principale raison pour laquelle on trouve des serveurs CLDAP exposés sur Internet », relève ainsi Williams. Une autre raison peut être des services d’annuaire de messagerie électronique, « mais je suspecte que c’est bien moins courant ».