政府及學術網站設備存在反射性放大DDOS攻擊漏洞等情 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2019-00412
  •  發信 Vendor: {TACERT台灣學術網路危機處理中心}、{政府}
  • Title: 政府及學術網站設備存在反射性放大DDOS攻擊漏洞等情
  • Introduction: 反射性放大DDOS攻擊

處理狀態

目前狀態

公開
Last Update : 2019/07/14
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2019/05/14 12:47:40 : 新提交 (由 phantom 更新此狀態)
  • 2019/05/15 00:47:15 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/05/22 16:32:38 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/05/22 16:32:39 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/07/14 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2019-00412
  • 通報者:phantom (phantom)
  • 風險:低
  • 類型:其他 (Other)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

TANET GSN MOEC
120.113.70.100 120.101.66.39 117.56.226.212
120.113.70.29 120.101.72.74 117.56.54.71
120.113.70.99 120.105.166.124 117.56.68.189
120.114.102.135 120.105.166.137 117.56.76.59
120.126.135.149 120.105.166.148 124.199.96.236
120.126.135.201 120.105.166.152 163.29.112.120
140.112.116.116 120.105.166.188 210.69.159.178
140.112.117.71 120.105.166.27 61.60.4.214
140.112.121.221 120.105.166.28
140.112.164.82 120.105.183.17
140.112.202.1 120.105.183.177
140.112.29.97 120.105.183.34
140.112.38.10 120.105.183.60
140.112.38.7 120.105.183.65
140.112.5.179 120.105.2.65
140.112.59.14 120.107.133.55
140.115.0.198 120.107.133.56
140.115.123.61 120.107.169.179
140.115.130.218 120.116.16.7
140.115.67.161
140.116.163.131
140.116.177.60
140.116.19.17
140.116.19.18
140.116.246.220
140.116.249.71
140.116.47.42
140.116.72.21
140.116.97.4
140.116.99.16
140.116.99.17
140.119.34.93
140.121.101.201
140.123.241.193
140.127.150.176
140.127.219.124
140.128.111.15
140.128.220.1
140.128.245.1
140.129.118.79
140.129.140.75
140.130.24.164
140.131.39.199
140.133.13.38
140.133.3.50
140.133.3.51
140.133.3.52
140.133.3.53
140.137.133.190
140.137.134.236
140.137.134.237
163.13.1.222
163.13.102.12
163.13.113.27
163.13.113.6
163.13.121.99
163.13.201.20
163.13.232.206
163.13.232.53
163.13.232.54
163.13.243.72
163.17.153.5
163.17.244.252
163.17.98.129
163.18.21.105
163.18.3.67
163.18.3.68
163.18.4.1
163.20.34.138
163.21.176.24
163.21.27.3
163.21.3.1
163.21.39.2
163.21.39.55
163.21.82.1
163.22.21.127
163.22.6.1
163.23.130.10
163.23.148.198
163.23.69.22
163.24.153.1
163.27.193.129
163.27.242.1
163.28.82.122
163.30.112.2
192.192.159.96
192.192.3.158
203.64.21.11
203.64.21.12
203.71.100.1
203.71.247.62
203.71.74.12
203.71.74.20
210.243.7.227
210.243.8.200
210.59.41.10
210.59.41.11
210.59.41.200
210.59.65.253
210.59.7.119
210.59.7.2
210.60.229.70
210.60.50.1
210.70.220.6
210.70.253.56
210.71.3.201

敘述

一、 政府及學術網站使用LDAP(Lightweight Directory Access Protocol)協定,該協定使用port 389進行數據傳輸,預設情況下是不需要身份驗證的功能,使用者可以傳送封包對LDAP伺服器port 389發出請求,由於使用者發起searchRequest後伺服器端將返回searchResEntry和searchResDone兩條訊息回應,一般情況下具有將較小封包反射出較大封包的效果,駭客可以偽造封包的目的端地址,向LDAP伺服器發送一個請求,當LDAP伺服器處理請求之後,便會向受害者的地址發送回應,造成受害者的網路頻寬遭佔滿,嗣後無法提供正常服務,平均LDAP所回應的封包是請求封包的46倍,在特定的條件下甚至可到55倍,因此被利用進行反射放大DDoS攻擊,建議相關單位應重視,避免政府機關或學術網站的電腦對外進行攻擊,成為駭客攻擊其他網站時的加害者。
二、 據瞭解,LDAP在rootDSE的詢問與回應是不需要權限即可存取的,因此在防護上,伺服器管理者可架設防火牆利用ACL控管,或者透過AD的內部設定,關閉查詢的選項Anonymous Access。嚴格來說,不建議AD server暴露於網際網路上,若非特殊用途,理應置於內網環境中才比較安全,未做好安全防護措施,非常容易被有心人士利用而影響到重要服務的運作,政府機關及學術網路雖然有資安設備防護,但是因為主機眾多加上自由開放的使用文化,若因伺服器服務設置不當,也容易成為全球DDoS攻擊之幫兇,或是遭利用作為反射攻擊的跳板,因此建議相關權責單位對於使用公用IP所架設之服務與機器,須妥善設定,並定期更新,以減少遭駭客入侵或利用的機會。

修補建議

伺服器管理者可架設防火牆利用ACL控管,或者透過AD的內部設定,關閉查詢的選項Anonymous Access。嚴格來說,不建議AD server暴露於網際網路上。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;