Los servidores Memcache pueden ser usados para realizar ataques DDoS increíblemente masivos
Los hackers pueden abusar de los servidores de Memcache para lanzar ataques DDoS increíblemente masivos usando muy pocos recursos computacionales en su extremo.
Este tipo de ataques DDoS son posibles debido a la forma en que los desarrolladores de Memcache implementaron el soporte para el protocolo UDP en su producto.
Además, para empeorar las cosas, los servidores Memcache también exponen su puerto UDP a conexiones externas en la configuración predeterminada, lo que significa que cualquier servidor Memcache que no se encuentre detrás de un firewall puede ser usado para realizar ataques DDoS en estos momentos.
Los servidores Memcache pueden ser usados para realizar ataques DDoS de reflexión
Cloudflare dice que detectó varios ataques DDoS llevados a cabo a través de servidores Memcached expuestos en los últimos días.
La compañía explica en un informe técnico que los ladrones envían pequeñas solicitudes de bytes a los servidores de Memcached en el puerto 11211. Como el protocolo UDP no se implementó correctamente, en lugar de responder con un paquete similar o más pequeño, los servidores de Memcache responden con paquetes miles de veces más grande que la solicitud inicial.
Debido a que es el protocolo UDP, la dirección IP de origen del paquete se puede falsificar fácilmente, lo que significa que el atacante puede engañar al servidor Memcache para que envíe estos paquetes de respuesta extragrandes a otra dirección IP, la IP de la víctima del ataque DDoS.
En la comunidad DDoS, este tipo de ataque DDoS se denomina DDoS reflexivo o DDoS de reflexión. La cantidad de veces que se amplifica el tamaño del paquete de respuesta es el "factor de amplificación" del ataque DDoS.
El factor de amplificación de Memcache puede llegar a 51200
Según Cloudflare, los ataques DDoS de reflexión basados en Memcache pueden tener factores de amplificación de hasta 51200. La compañía cita los últimos ataques DDoS lanzados contra su red, donde los atacantes envían paquetes de 15 bytes y los servidores Memcache responden con paquetes de 750kB a cambio.
Sin embargo, este factor de amplificación puede variar, dependiendo de la capacidad del atacante de crear solicitudes maliciosas que engañen al servidor para que responda con paquetes cada vez más grandes.
Cloudflare también dice que el mayor ataque DDoS basado en Memcache que mitigó los últimos dos días alcanzó un tamaño masivo de 260 Gbps (Gigabytes por segundo) y 23 Mpps (Millones de paquetes por segundo).
"La mayoría de los paquetes tienen un tamaño de 1400 bytes. Al hacer cálculos matemáticos de 23Mpps x 1400 bytes se obtienen 257Gbps de ancho de banda, exactamente lo que muestra el gráfico", dijo Marek Majkowski, un ingeniero Cloudflare.
Y las cifras realmente no mienten porque las estadísticas públicas provistas por el Laboratorio de Investigación de Seguridad de Red de Qihoo 360 (Netlab) muestran un aumento repentino en los servidores Memcache utilizados como fuente de ataques DDoS de reflexión.
Estadísticas de Qihoo de los ataques DDoS de Memcache
Más de 93000 servidores Memcache accesibles en línea
Un factor de amplificación de 51200 es enorme. Existen otros protocolos y tecnologías que se pueden abusar para los ataques DDoS de reflexión, como DNS, TFTP, LDAP, CLDAP, SNMP, BitTorrent y otros.
Los factores de amplificación suelen oscilar entre 2 y 10, con el mayor alcance entre 50 y 100. Rara vez se ve un ataque DDoS de reflexión con un factor de amplificación de más de 100, y mucho menos de 10000 o 50000, como es el caso de Memcache.
Esto no sería un gran problema si Memcache no fuera una solución popular de caché de páginas web. Usando Shodan podemos encontrar más de 93000 servidores Memcache fácilmente accesibles en línea. La buena noticia es que este número se ha reducido. En 2015 estaban disponibles más de 134000 servidores Memcache en línea.
Los expertos en seguridad están recomendando a los propietarios de los servidores de Memcache que deshabiliten su puerto UDP si no lo están utilizando y colocan estos servidores en redes privadas, detrás de los firewalls. Para que los servidores se inicien, Cloudflare incluye pasos sencillos sobre cómo deshabilitar el soporte UDP de Memcache en su informe reciente.