Entendendo os ataques Multigigabit usando memcached

Refletores potencializam ataques em 51Mil vezes.

Entendendo os ataques Multigigabit usando memcached. A empresa Akamai divulgou um alerta no dia 27 de fevereiro de 2018 sobre um novo vetor de ataque de reflexão de DDoS. Tráfego de memcached baseado em UDP.

Para entendermos um pouco mais deste tipo de ataque precisamos antes entender o que seria memcached.

Segundo  wikipedia memcached é um sistema distribuído de chace em memória de propósitos gerais, é frequentemente utilizado para acelerar sites dinâmicos orientados a banco de dados, cacheando dados e objetos na RAM para reduzir a quantidade de vezes que uma fonte de dados externa deve ser acessada.

Segundo a Akamai o protocolo permite que o servidor seja consultado para obter informações sobre os valores das chaves armazenadas e destina-se apenas a ser usado em sistemas que não estejam expostos à Internet. Não há autenticação necessária com o memcached. Quando isso é adicionado à capacidade de falsificar os endereços IP do tráfego UDP, o protocolo pode ser facilmente abusado como um refletor quando ele é exposto à Internet. Akamai viu vários ataques, alguns em excesso de 190 Gbps, com potencial para ataques muito maiores. Por padrão o sistema memcached escuta na porta TCP e UDP 11211 na maioria das versões do Linux, mais em algumas distribuições por padrão é configurado para escutar esta porta em todas as interfaces.

Quando um sistema recebe uma solicitação de requisição do memcached, ele forma uma resposta coletando os valores solicitados da memória, enviando-os em um fluxo ininterrupto. Essa resposta é enviada para o destino em vários pacotes UDPs, cada um com um comprimento de até 1400 bytes. É difícil determinar o fator de amplificação exato do memcached, mas os ataques que a Akamai viu geraram quase 1 Gbps por refletor. Outras organizações relataram ataques em excesso de 500 Gbps usando reflexão memcached.

A Akamai registrou vários ataques alguns com excesso de 190 Gbps, com potencial para ataques muito maiores.

No caso dos ataques de amplificação identificados por Akamai, Arbor Networks e Cloudflare, os invasores puderam enviar uma solicitação de pacote baseada em UDP de pequeno tamanho ao servidor memcached (na porta 11211). Os pacotes seriam falsificados para aparecer como se fossem enviados do alvo pretendido do ataque DDoS. Em resposta, o servidor memcached responde enviando o alvo falsificado uma resposta massivamente desproporcional. “Quinze bytes de solicitação desencadearam 134KB de resposta. Este é um fator de ampliação de 10.000x! Na prática, vimos um resultado de 15 bytes em uma resposta de 750kb (é uma amplificação de 51.200x) “, disse Majkowski, engenheiro da Cloudflare .

De acordo com algumas estimativas existem mais de 88 mil servidores abertos vulneráveis a abusos, servidores memcached vulneráveis foram identificados globalmente, com a maior concentração na América do Norte e na Europa segundo a Cloudflare.  Para piorar a situação, esses servidores suportam UDP, protocolo de comunicação alternativo para o TCP e considerados maduros para abusos em ataques de amplificação.

A especificação do UDP mostra ser um dos melhores para amplificação! Há absolutamente zero verificações, e os dados são entregues aos clientes com a velocidade máxima! Além disso, o pedido pode ser minúsculo e a resposta enorme, observam os pesquisadores da Cloudflare.

A principal solução para ataques memcached é não ter os refletores expostos a internet. No entanto, confiar em administradores de sistemas remotos para remover seus servidores da internet não é uma solução susceptível de ver resultados imediatos. Enquanto isso, as organizações precisam estar preparadas para ataques mais multigigabit usando este protocolo e devem planejar de acordo.

 

Veja também:

 

Fonte:  Akamai - Wikipedia - ThreatPost

Por  Celso Faquer
Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!