Hvordan stoppe Memcached DDoS-angrep med en enkel kommando

Video: Forvent større og mer komplekse DDoS-angrep Nexusguards CTO Juniman Kasman forklarer hvordan hybridskyen hjelper cybersecurity-bedrifter å skille mellom legitim trafikk og falske IP-adresser som brukes til angrep på tjenestenekt.
Bygge et lysbilde dekk, tonehøyde eller presentasjon? Her er de store takeaways:
  • Sikkerhetsinformasjonen Memcached er blitt brukt i rekordstore DDoS-angrep mot GitHub og en navngitt amerikansk tjenesteleverandør.
  • Forskjellige proof-of-concept-skript er gitt ut for å utnytte sårbarheten.

Hackere har nylig utnyttet en sårbarhet i Memcached-protokollen som gir dem muligheten til å lage rekordstore forsterkningsangrep, en type distribuert denial-of-service (DDoS). Disse angrepene er trivielle å implementere, ettersom et botnett av datamaskiner ikke er nødvendig for å generere mengder trafikk som er nødvendig for å lamme et gitt system eller nettverk.

Proof-of-concept-kode som lett kan tilpasses for bruk i angrep, er publisert av forskjellige forskere. Blant dem er Python-skriptet "Memcrashed.py" som integreres med Shodan-søkemotoren for å finne sårbare servere som du kan starte et angrep fra. En alternativ versjon i C som bruker en statisk liste over sårbare servere ble lastet opp til Pastebin, og et tredje proof-of-concept ble tweetet av @ens.

For systemer som er målrettet mot UDP-angrep, ble en tweet av Memcached-utvikleren @ dormando tilsynelatende oversett i pressen før en pressemelding fra sikkerhetsselskapet Corero. Fordi den sårbare Memcached-server-IP ikke er forfalsket, er det ifølge dormando "ganske enkelt å deaktivere dem" ved å sende kommandoen "shutdown \ r \ n" eller "kjøre 'flush_all \ r \ n' i en sløyfe vil forhindre forsterkning ." En uttalelse fra Corero garanterer for effektiviteten av denne metoden, og hevder den "ikke har blitt observert for å forårsake noen sikkerhetsskader."

Dette sikkerhetsproblemet ble oppdatert i Memcached 1.5.6, som deaktiverer den sårbare UDP-versjonen av protokollen som standard. Marek Majkowski, en forsker ved CloudFlare som skrev den opprinnelige rapporten om sårbarheten, ble noe forvirret over eksistensen av en UDP -vendt protokoll i Memcached. Avhengig av synet ditt, er UDP-støtte enten et resultat av kodetrafling eller eldre støtte. Utgivelsesnotatene for 1.5.6 indikerer at "For 12 år siden hadde UDP-versjonen av protokollen mer utbredt bruk: TCP-overhead kunne være veldig høy. I løpet av de siste årene har jeg ikke hørt om noen som bruker UDP lenger. og spesielle klienter tillater gjenbruk av tilkoblinger, noe som reduserer overhead. "

For uoverførte versjoner vil deaktivering av UDP-protokollstøtte forhindre at servere som kjører Memcached blir brukt i forsterkningsangrep. En rapport fra Rapid7 indikerer at antall påviselige unike, ubeskyttede UDP-endepunkter har krympet fra "nesten 18 000" 1. mars til "under 12 000" fra 5. mars.

I vanlig praksis brukes Memcached for å øke ytelsen til nettsteder som bruker databaser for å lagre innhold. Dette oppnås ved å lagre ofte tilgang til innhold i RAM, redusere antall databasespørringer som er nødvendige for å generere en webside. Sikkerhetsmomenten Memcached er blitt utnyttet i et 1, 35 Tbps DDoS-angrep mot GitHub, og et 1, 7 Tbps DDoS-angrep mot en ikke navngitt amerikansk tjenesteleverandør, som begge var rekordstore høydepunkter for angrep da de først ble rapportert.

Dette sikkerhetsproblemet har blitt tildelt identifikatoren CVE-2018-1000115.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com