Tội phạm mạng đã tìm ra cách để lạm dụng các máy chủ Memcached để khai thác các cuộc tấn công DDoS. Điều này có thể dẫn tới việc chiếm đoạt hoàn toàn các trang web và cơ sở hạ tầng Internet quan trọng.
Các nhà nghiên cứu an ninh tại Cloudflare, Arbor Networks và công ty bảo mật Qihoo 360 của Trung Quốc nhận thấy rằng tin tặc đang lạm dụng “Memcached” để khuếch đại các cuộc tấn công DDoS bằng một yếu tố chưa từng thấy là 51.200.
Memcached là một hệ thống lưu trữ phân phối cho phép các đối tượng được lưu trữ trong bộ nhớ làm việc với một số lượng lớn các kết nối mở. Ứng dụng Memcached được thiết kế để tăng tốc các ứng dụng web động bằng cách giảm stress trên cơ sở dữ liệu, giúp các quản trị viên tăng hiệu suất và ứng dụng web. Memcached được sử dụng rộng rãi bởi hàng ngàn trang web, bao gồm Facebook, Flickr, Twitter, Reddit, YouTube và Github.
Memcrashed DDoS Amplification Attack hoạt động như thế nào?
Xu hướng sử dụng giao thức.
Giống như các phương pháp khuếch đại khác, các hacker sẽ gửi một yêu cầu nhỏ từ địa chỉ IP giả mạo để có được phản hồi lớn hơn, cuộc tấn công khuếch đại Memcrashed cũng hoạt động bằng cách gửi một yêu cầu giả mạo đến máy chủ (máy chủ UDP dễ bị xâm nhập) trên cổng 11211 sử dụng IP giả mạo địa chỉ phù hợp với địa chỉ IP của nạn nhân.
Theo nghiên cứu, hầu hết các máy chủ Memcached đang bị lạm dụng để tấn công DDoS khuếch đại được tổ chức tại OVH , Digital Ocean, Sakura và các nhà cung cấp hosting nhỏ khác.
Theo các nhà nghiên cứu, chỉ cần một vài byte của yêu cầu được gửi đến máy chủ có thể kích hoạt phản ứng lớn hơn hàng chục nghìn lần. Cloudfair cho biết: “Vào lúc cao điểm, chúng tôi đã thấy lưu lượng truy cập memcached lên đến 260 Gbps, đây là một con số khổng lồ đối với một mô hình khuếch đại mới.”
Arbor Networks lưu ý rằng các truy vấn priming Memcached được sử dụng trong các cuộc tấn công cũng có thể hướng tới cổng TCP 11211 trên các máy chủ Memcached. Tuy nhiên, TCP hiện không được xem là một vector có khả năng phản hồi/khuếch đại cao Memcached vì các truy vấn TCP không thể giả mạo.
Các lỗ hổng tấn công khuếch đại DDoS phổ biến được biết đến trong quá khứ bao gồm các máy chủ độ phân giải tên miền được bảo vệ kém (DNS), có khả năng tăng gấp 50 lần khối lượng và giao thức thời gian mạng (NTP), tăng gần 58 lần lưu lượng truy cập.
Làm thế nào để Fix Memcached Servers?
Một trong những cách đơn giản nhất để ngăn chặn các cuộc tấn công vào máy chủ Memcached là phản xạ bằng tường lửa, chặn/giới hạn tốc độ UDP trên cổng nguồn 11211.
Khi Memcached nghe INADDR_ANY và chạy với sự hỗ trợ UDP mặc định, các quản trị viên nên vô hiệu hóa hỗ trợ UDP khi không sử dụng. Các cuộc tấn công tiềm tàng được tạo ra bởi phản hồi Memcached không thể dễ dàng để ngăn chặn, bởi chỉ cần giả mạo IP hợp lệ trên internet.
Theo securitybox
