SOS :: Security Operation Space
22 июня, пятница, 00:00
|
Hot News:

DDoS с участием memcached: PoC-коды и противоядие

12 марта 2018 г., понедельник, 07:00

В открытом доступе появились скрипты, облегчающие проведение атак; также выпущены патч и средство защиты.

За последнюю неделю на DDoS-фронте произошло неприятное событие, которого следовало ожидать. В открытом доступе появились первые PoC-коды, облегчающие проведение мощнейших атак с memcached-плечом.

Один из этих инструментов, по свидетельству Bleeping Computer, представляет собой написанный на Python скрипт, позволяющий с помощью Shodan выявлять доступные из Интернета memcached-серверы и в считанные секунды организовывать DDoS-атаку на выбранную мишень. Как оказалось, этот PoC, именуемый Memcrashed, создал ИБ-исследователь Амир Мохаммади (Amir Khashayar Mohammadi).

Вторая утилита для автоматизации memcached-атак была выложена на Pastebin пятого марта анонимом. Этот скрипт написан на C и предлагается в комплекте со списком из более 17 тыс. IP-адресов, пригодных для использования в качестве «отражателей» DDoS-трафика.

Третий PoC, по свидетельству репортера, настолько мал, что уместился в сообщении, опубликованном в Twitter.

DDoS-атаки, использующие уязвимые memcached-серверы для отражения и усиления мусорного трафика (DrDoS), наблюдаются в Интернете с конца прошлого месяца. Поскольку такие серверы поддерживают UDP, возможна подмена источника запроса, что позволяет злоумышленникам направлять вредоносный поток на выбранную цель. Более того, на небольшой по размеру запрос каждый memcached-сервер способен вернуть внушительный ответ — до 1 Мбайт; в итоге совокупный поток, который обрушивается на жертву, может усилиться в 50 тыс. раз.

Текущие DDoS с memcached-плечом уже побили все рекорды по мощности. Так, атаки на GitHub и крупнейшего хостинг-провайдера OVH на пике показали 1,3 Тбит/с, а атака, нацеленная на американского клиента Arbor Networks, — 1,7 Тбит/с.

Комментируя публикацию PoC-кодов, глава некоммерческой ИБ-организации GDI Foundation Виктор Геверс (Victor Gevers) отметил, что они предупреждают владельцев memcached-серверов о возможности злоупотреблений уже почти два года, советуя усилить защиту и помещать такие устройства за межсетевым экраном.

«Мы тратим усилия на поиск владельцев, предупреждение о рисках, призывы к действию, — цитирует Bleeping Computer эксперта. — Увы, поскольку это не грозит утечкой, наши корреспонденты редко откликаются на письма. Теперь, когда PoC-инструменты и готовые списки опубликованы, можно ожидать значительный рост числа атак с memcached-усилением».

«Могу поспорить, что DDoS-сервисы не преминут включить Memcached в свой пакет услуг», — вторит Геверсу Дэниел Смит (Daniel Smith), аналитик из ИБ-компании Radware.

Выступая в прошлом году на конференции, эксперты Qihoo 360 тоже предупредили о возможности использования memcached-серверов в атаках, однако до недавнего времени с подобными DDoS китайские специалисты не сталкивались. Первые memcached-атаки Qihoo 360 зафиксировала 24 февраля, и за десять последующих дней исследователи насчитали около 15 тыс. таких DrDoS, более 7 тыс. мишеней и до 20 612 memcached-участников атаки.

Меры защиты

Чтобы уберечь свою инфраструктуру от злоупотреблений, многие поставщики облачных услуг уже начали ограничивать скорость передачи данных, отправляемых с UDP-порта 11211. Владельцы memcached-серверов тоже, наконец, вняли увещеваниям ввиду реальности угрозы: Rapid7 сообщает о резком сокращении числа серверов с открытым портом 11211, то же самое наблюдает Геверс.

Тем временем для жертв DrDoS с новым вектором появилась возможность самостоятельно остановить атаку. Один из разработчиков memcached-сервера, использующий псевдоним Dormando, предложил отправлять атакующим команды shutdown и flush_all. Первая принудительно завершает работу системы (что в общем-то незаконно, так как это чужой сервер), вторая очищает кэшируемую память сервера, в том числе от вредоносных пакетов.

Подсказкой Dormando уже воспользовались в Corero — компании, специализирующейся на защите от DDoS. Эксперты опробовали flush_all в ходе реальной атаки и убедились, что подобный контрудар прекрасно работает, не создавая попутные риски.

Опубликовавший PoC-код Мохаммади тоже внес свою лепту в создание противоядия — написал Python-утилиту, позволяющую автоматизировать отправку команд flush_all и shutdown источникам вредоносных пакетов. Инструмент, нареченный Memfixed, уже выложен на GitHub. Названные команды можно посылать поочередно на каждый атакующий IP-адрес или групповым методом. Список IP составляется с помощью Shodan либо локально — в этом случае он сохраняется в файл servers.txt в той же папке, где находится утилита.

Кураторы проекта Memcached, со своей стороны, позаботились об исправлении ошибки конфигурации (CVE-2018-1000115) и выпустили обновление 1.5.6, отключающее UDP по умолчанию. В Corero, однако, заявили, что DDoS — не единственная угроза, связанная с данной уязвимостью, ее использование также позволяет украсть или модифицировать данные на сервере. Со слов Bleeping Computer, эту информацию эксперты уже донесли до американских ведомств, отвечающих за госбезопасность, с тем чтобы те подготовили и опубликовали соответствующие предупреждения.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
03:10
14:24
13:56
13:13
12:23
12:13
02:32
16:06
14:40
13:24
12:32
12:08
02:46
01:41
18:39
16:44
14:53
14:29


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.070
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.