Descubrén una técnica que puede mitigar los ataques DDoS de Memcached
Un mecanismo de mitigación está disponible para todas las víctimas que están bajo un ataque DDoS llevado a cabo a través de servidores Memcached.
Esta técnica de mitigación depende de que la víctima atacada envíe un comando "flush_all" a los servidores atacantes. La medida fue propuesta la semana pasada por Dormando, uno de los desarrolladores de servidores de Memcached.
For what it's worth, if you're getting attacked by memcached's, it's pretty easy to disable them since the source won't be spoofed. They may accept "shutdown\r\n", but also running "flush_all\r\n" in a loop will prevent amplification.
— dormando (@dormando) 27 de febrero de 2018
Dormando desarrolladoe de Memcache avisa que no recibió la atención que merecía hasta hoy, después de un comunicado de prensa de Memcache por corero a sus usuarios.
La compañía anunció que integró este mecanismo básico de mitigación dentro de su solución de mitigación DDoS y encontró que "es 100% efectivo" durante un ataque.
"No se ha observado que cause ningún daño colateral", dijeron los expertos sobre la técnica "flush_all".
Las empresas bajo ataque DDoS de servidores Memcached y que no pueden pagar los servicios de mitigación DDoS, en teoría, pueden crear scripts que implementen los dos comandos "shutdown" y "flush_all" recomendados por Dormando. Estos comandos cierran los servidores atacantes o borran el caché de los paquetes maliciosos que causan el efecto de amplificación del ataque DDoS.
Memcached v1.5.6 arregla el vector de ataque DDoS
Estos ataques DDoS están sucediendo debido a que los servidores de Memcached afectados siguen estando disponibles en línea. En su configuración predeterminada, estos servidores exponen el puerto 11211, que los atacantes están utilizando para reflejar y amplificar los ataques DDoS.
El equipo de Memcached ha tomado medidas para solucionar este problema de configuración (CVE-2018-1000115). El 27 de febrero, lanzaron Memcached v1.5.6 que desactiva el protocolo UDP de manera predeterminada y requiere que los usuarios habiliten explícitamente el soporte UDP al implementar servidores Memcached.
Pero además de una nueva versión segura de Memcached, la enorme cobertura de los medios también ha impulsado a muchos propietarios de servidores a tomar medidas.
El número de servidores Memcached vulnerables desciende
Rapid7 informó hoy que los servidores de Memcached con el puerto 11211 abierto en Internet han disminuido de 18,000 el 1 de marzo a menos de 12,000 el 5 de marzo.
El investigador de seguridad Victor Gevers ha informado haber visto lo mismo, aunque con diferentes números.
For what it's worth, if you're getting attacked by memcached's, it's pretty easy to disable them since the source won't be spoofed. They may accept "shutdown\r\n", but also running "flush_all\r\n" in a loop will prevent amplification.
— dormando (@dormando) 27 de febrero de 2018
La caída en los números también se debe a que los proveedores de servicios en la nube también han tomado medidas para evitar que se abuse de su infraestructura Memcached en alquiler para que lo usen en tales ataques.
¿Otro fallo en Memcached?
Pero el problema Memcached DDoS no es el único con el que los propietarios de servidores tendrán que lidiar este mes. Corero también dijo hoy que la vulnerabilidad DDoS "es más extensa de lo que se informó originalmente, y también puede ser utilizada por atacantes para robar o modificar datos de los vulnerables servidores Memcached".
Sin embargo, la compañía no proporcionó ningún detalle, pero dijo que contactó a las agencias de seguridad nacional con la información que tenía para que las agencias pudieran preparar y enviar las alertas de seguridad adecuadas.