De acuerdo con el estudio Threat Advisory: CLDAP Reflection DDoS de Akamai, los ataques de reflexión de CLDAP se caracterizan por generar hasta 24 Gbps de tráfico, dirigiéndose en primer orden a las industrias del software y de la tecnología, teniendo como foco a los EE.UU, Alemania y el Reino Unido.
Basado en la Plataforma Inteligente de Akamai (Akamai Intelligent Platform) para el seguimiento del comportamiento en Internet, un reciente reporte sobre ataques DDOS del equipo de respuesta con inteligencia de seguridad (SIRT) de Akamai, identificó nuevas modalidades de amplificación y reflexión del protocolo ligero de acceso a directorios sin conexión (CLDAP, por sus siglas en inglés).
Este nuevo método de reflexión y amplificación CLDAP ha sido observado en la producción de ataques de Distribución de Denegación de Servicios (Distributed Denial of Service, DDoS), en niveles similares a los conocidos ataques de reflexión DNS (Domain Name Systems) pero en promedios por encima de 1Gbps.
Bajo la autoría de José Arteaga y Wilber Majia, en el reporte señala que el factor de amplificación de CLDAP observado produjo un ancho de banda de ataque significativo con un número de hosts mucho menor a otros vectores basados en la reflexión. Desde octubre de 2016, Akamai ha detectado y mitigado un total de 50 ataques de reflexión de CLDAP, 33 de los cuales eran ataques de vector único en los que se utilizaba la reflexión de CLDAP exclusivamente.
De acuerdo con las especificaciones de la observación, aunque el sector de los videojuegos suele ser el objetivo principal de los ataques DDoS, como fue reportado en el más reciente reporte sobre el Estado de Internet de Akamai, los nuevos ataques de CLDAP que se han observado han tenido como objetivo los sectores de software y tecnología principalmente. Otros sectores afectados son las operadoras de Internet y telecomunicaciones, los medios de comunicación, el entretenimiento, instituciones de educación, el retail, oferentes de bienes de consumo y los servicios financieros.
Como muchos otros vectores de ataque de amplificación y reflexión, no sería posible llevar a cabo los ataques de CLDAP si las organizaciones establecieran un filtro de entrada adecuado. Los hosts potenciales se detectan mediante los análisis de Internet y el filtrado del puerto de destino 389 del protocolo de datagramas de usuario (UDP).
El ataque de 24 Gbps que mitigó Akamai el 7 de enero de 2017 es el mayor ataque DDoS mediante reflexión de CLDAP como vector único que ha observado el SIRT hasta el momento. El ancho de banda medio de los ataques de CLDAP ha sido de 3 Gbps.
“Más del 50 % de los ataques consiste siempre en ataques de reflexión basados en UDP”, explica José Arteaga, que forma parte del equipo de respuesta e inteligencia de seguridad de Akamai. “Dadas las similitudes que se observan con las secuencias de comandos de ataque de reflexión UDP, el CLDAP probablemente se haya incluido, o se incluirá, en una secuencia de comandos de ataque completa y se integre en una infraestructura de booter/stresser. En el caso de que todavía no se haya incluido, es probable que los peores ataques estén por venir”.
En cuanto a las geografías con mayor actividad de los ataques CLDAP, Akamai identificó a los Estados Unidos como origen principal de esta actividad seguido por los de Alemania, y el Reino Unido.