LDAP Injector

A injeção LDAP é uma vulnerabilidade crítica de aplicação web que visa sistemas que usam o Lightweight Directory Access Protocol para autenticação e recuperação de dados. Similar em conceito à injeção SQL, a injeção LDAP ocorre quando entrada fornecida pelo usuário é incorporada em consultas LDAP sem sanitização adequada, permitindo que atacantes modifiquem a lógica da consulta e contornem a autenticação ou extraiam informações não autorizadas dos serviços de diretório.

O que é LDAP e por que é alvo de ataques?

LDAP é um protocolo usado para acessar e gerenciar serviços de informação de diretório, mais comumente o Microsoft Active Directory. Organizações usam LDAP para autenticação centralizada, diretórios de funcionários, catálogos de endereços de email e gerenciamento de controle de acesso. Como o LDAP frequentemente serve como a espinha dorsal de autenticação para redes corporativas, uma vulnerabilidade de injeção LDAP pode fornecer aos atacantes acesso amplo aos sistemas corporativos e dados sensíveis dos funcionários.

Como funcionam os ataques de injeção LDAP

Consultas LDAP usam uma sintaxe de filtro específica para pesquisar entradas de diretório. Uma consulta de autenticação típica pode parecer com (&(uid=username)(password=secret)). Quando uma aplicação constrói essa consulta concatenando diretamente a entrada do usuário, um atacante pode injetar caracteres especiais - particularmente parênteses, e-comerciais, barras verticais e asteriscos - para alterar a lógica da consulta. Ao injetar *)(uid=*))(|(uid=* ou payloads similares, atacantes podem contornar verificações de senha, enumerar entradas de diretório ou extrair valores de atributos.

Cenários comuns de injeção LDAP

O cenário mais frequentemente explorado envolve contorno de autenticação, onde caracteres injetados fazem a consulta LDAP retornar um resultado válido independentemente da senha fornecida. Outros cenários de ataque incluem exfiltração de dados através de injeção LDAP cega (inferindo informações das respostas da aplicação), enumeração de contas de usuário e membros de grupos, e descoberta da estrutura de rede interna através de travessia de diretório. Esses ataques são particularmente perigosos em ambientes corporativos onde o LDAP controla o acesso a múltiplos sistemas interconectados.

Prevenção e mitigação

A defesa contra injeção LDAP requer validação de entrada e escape adequado de caracteres especiais LDAP antes de incorporar entrada do usuário em consultas. Aplicações devem usar consultas LDAP parametrizadas quando disponíveis, implementar acesso de menor privilégio para contas de serviço LDAP e implantar monitoramento para detectar padrões de consulta incomuns. Entender técnicas de injeção LDAP ajuda as equipes de segurança a identificar e remediar essas vulnerabilidades antes que atacantes as explorem em ambientes de produção.