Onderzoek: 541.000 ldap-servers publiek toegankelijk
Onderzoekers hebben op internet 541.000 publiek toegankelijke ldap-servers gevonden die aanvallers kunnen gebruiken voor het versterken van ddos-aanvallen. Het lightweight directory access protocol (ldap) is één van de meestgebruikte protocollen voor het benaderen van gebruikersnamen en wachtwoordgegevens in databases zoals Active Directory.
Open ldap-servers kunnen internetcriminelen echter helpen met het versterken van hun ddos-aanvallen. In dit geval sturen de aanvallers een eenvoudig verzoek naar servers met een connectionless ldap-service (cldap). Het adres waarvan het verzoek afkomstig is, is gespooft. De aanvallers geven in dit geval het adres van de aan te vallen website of internetdienst op. De cldap-service reageert op het verzoek en stuurt ongewenst netwerkverkeer naar het gespoofte adres terug. Op deze manier kan het aanvalsverkeer met een factor 58 worden versterkt, aldus beveiligingsbedrijf Rapid7.
Onlangs besloot de Shadow Server Foundation een scan naar dit soort open ldap-servers uit te voeren, zodat de verantwoordelijke organisaties kunnen worden gewaarschuwd. In veel gevallen is het namelijk niet de bedoeling dat de ldap-servers op deze manier toegankelijk zijn. Rapid7 heeft echter ook onderzoek naar open ldap-servers uitgevoerd. Dat leverde in totaal 514.000 servers op. Daarnaast blijkt dat niet alleen Microsoft Active Directory Controllers en Lightweight Directory Services cldap gebruiken, maar ook andere diensten, zoals Novel LDAP Agent for eDirectory. Het aandeel van deze diensten is echter verwaarloosbaar.
Vervolgens keken de onderzoekers of cldap inderdaad kan worden gebruikt om ddos-verkeer te sterken. Eerder waarschuwde beveiligingsbedrijf Corero dat hierdoor het aanvalsverkeer met een factor 55 kan toenemen. Onderzoekers van Rapid7 bevestigen dit, aangezien zij het aanvalsverkeer met een factor 58 zagen toenemen. Volgens de onderzoekers laten deze voorlopige bevindingen zien dat ldap vrij gewoon op internet is en het mogelijk is om de software te achterhalen die deze dienst aanbiedt. Ook blijkt dat cldap inderdaad voor het versterken van ddos-aanvallen is te gebruiken als een groot aantal ldap-servers via het internet toegankelijk blijft.
Welke services bedienen ze. Gewoonlijk zijn dat services zoals een os. Daarmee is er geen reden om ze buiten open te zetten.
Lekker bezig..
In dat geval moet hun ISP dat filteren, en als die dat niet doet dan moet die afgekoppeld worden.
Er is geen reden om verkeer met gespoofed source adres te forwarden. Geen enkele reden.
Novell Edir != Netware OS.
Identity Manager (IDM) is een van de krachtigste edirs die er bestaat.
Novell Edir != Netware OS.
Identity Manager (IDM) is een van de krachtigste edirs die er bestaat.
Ik heb het ook over Novell Edirectory, Netware was daarvoor.
Citrix leek daarna (oude versies) ook een beetje op.
Gelukkig hebben we nu SaaS oplossingen
Gelukkig hebben we nu SaaS oplossingen
De Phillips datalek verhaal gezien?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
