Entendendo os ataques Multigigabit usando memcached

Entendendo os ataques Multigigabit usando memcached. A empresa Akamai divulgou um alerta no dia 27 de fevereiro de 2018 sobre um novo vetor de ataque de reflexão de DDoS. Tráfego de memcached baseado em UDP.

Para entendermos um pouco mais deste tipo de ataque precisamos antes entender o que seria memcached.

Segundo  wikipedia memcached é um sistema distribuído de chace em memória de propósitos gerais, é frequentemente utilizado para acelerar sites dinâmicos orientados a banco de dados, cacheando dados e objetos na RAM para reduzir a quantidade de vezes que uma fonte de dados externa deve ser acessada.

Segundo a Akamai o protocolo permite que o servidor seja consultado para obter informações sobre os valores das chaves armazenadas e destina-se apenas a ser usado em sistemas que não estejam expostos à Internet. Não há autenticação necessária com o memcached. Quando isso é adicionado à capacidade de falsificar os endereços IP do tráfego UDP, o protocolo pode ser facilmente abusado como um refletor quando ele é exposto à Internet. Akamai viu vários ataques, alguns em excesso de 190 Gbps, com potencial para ataques muito maiores. Por padrão o sistema memcached escuta na porta TCP e UDP 11211 na maioria das versões do Linux, mais em algumas distribuições por padrão é configurado para escutar esta porta em todas as interfaces.

Quando um sistema recebe uma solicitação de requisição do memcached, ele forma uma resposta coletando os valores solicitados da memória, enviando-os em um fluxo ininterrupto. Essa resposta é enviada para o destino em vários pacotes UDPs, cada um com um comprimento de até 1400 bytes. É difícil determinar o fator de amplificação exato do memcached, mas os ataques que a Akamai viu geraram quase 1 Gbps por refletor. Outras organizações relataram ataques em excesso de 500 Gbps usando reflexão memcached.

A Akamai registrou vários ataques alguns com excesso de 190 Gbps, com potencial para ataques muito maiores.

No caso dos ataques de amplificação identificados por Akamai, Arbor Networks e Cloudflare, os invasores puderam enviar uma solicitação de pacote baseada em UDP de pequeno tamanho ao servidor memcached (na porta 11211). Os pacotes seriam falsificados para aparecer como se fossem enviados do alvo pretendido do ataque DDoS. Em resposta, o servidor memcached responde enviando o alvo falsificado uma resposta massivamente desproporcional. “Quinze bytes de solicitação desencadearam 134KB de resposta. Este é um fator de ampliação de 10.000x! Na prática, vimos um resultado de 15 bytes em uma resposta de 750kb (é uma amplificação de 51.200x) “, disse Majkowski, engenheiro da Cloudflare .

De acordo com algumas estimativas existem mais de 88 mil servidores abertos vulneráveis a abusos, servidores memcached vulneráveis foram identificados globalmente, com a maior concentração na América do Norte e na Europa segundo a Cloudflare.  Para piorar a situação, esses servidores suportam UDP, protocolo de comunicação alternativo para o TCP e considerados maduros para abusos em ataques de amplificação.

A especificação do UDP mostra ser um dos melhores para amplificação! Há absolutamente zero verificações, e os dados são entregues aos clientes com a velocidade máxima! Além disso, o pedido pode ser minúsculo e a resposta enorme, observam os pesquisadores da Cloudflare.

A principal solução para ataques memcached é não ter os refletores expostos a internet. No entanto, confiar em administradores de sistemas remotos para remover seus servidores da internet não é uma solução susceptível de ver resultados imediatos. Enquanto isso, as organizações precisam estar preparadas para ataques mais multigigabit usando este protocolo e devem planejar de acordo.

Veja também:

• Registrado novo recorde em ataques DDoS de 1,71 Terabit utilizando memcached
• ArcSight, QRadar e Splunk: Qual o Melhor SIEM?
• Menos da metade dos alvos de ransomware que pagaram o resgate obtiveram seus arquivos de volta
• Samba lança correção para vulnerabilidade que permite alterar senhas de usuários Admin
• Como alinhar o DRP ao PCN
• CASB – Você sabe o que é?
• Restaurantes da Applebee’s são afetados por malware de cartão no POS
• Aumento do uso de memcached põe Brasil na rota de ataques DDOS
• Malware enviado por Word não usa macro para infecção e passa pelos sistemas de proteções tradicionais
• Webinar: Uma bala de prata para ataques Zero-Day e Ransomware
• Verizon apresenta pesquisa sobre Segurança Móvel
• VPN uma solução corporativa para proteção de usuários domésticos

Fonte:  Akamai - Wikipedia - ThreatPost

Por  Celso Faquer