DDoS с участием memcached: PoC-коды и противоядие

В открытом доступе появились скрипты, облегчающие проведение атак; также выпущены патч и средство защиты.

За последнюю неделю на DDoS-фронте произошло неприятное событие, которого следовало ожидать. В открытом доступе появились первые PoC-коды, облегчающие проведение мощнейших атак с memcached-плечом.

Один из этих инструментов, по свидетельству Bleeping Computer, представляет собой написанный на Python скрипт, позволяющий с помощью Shodan выявлять доступные из Интернета memcached-серверы и в считанные секунды организовывать DDoS-атаку на выбранную мишень. Как оказалось, этот PoC, именуемый Memcrashed, создал ИБ-исследователь Амир Мохаммади (Amir Khashayar Mohammadi).

Вторая утилита для автоматизации memcached-атак была выложена на Pastebin пятого марта анонимом. Этот скрипт написан на C и предлагается в комплекте со списком из более 17 тыс. IP-адресов, пригодных для использования в качестве «отражателей» DDoS-трафика.

Третий PoC, по свидетельству репортера, настолько мал, что уместился в сообщении, опубликованном в Twitter.

DDoS-атаки, использующие уязвимые memcached-серверы для отражения и усиления мусорного трафика (DrDoS), наблюдаются в Интернете с конца прошлого месяца. Поскольку такие серверы поддерживают UDP, возможна подмена источника запроса, что позволяет злоумышленникам направлять вредоносный поток на выбранную цель. Более того, на небольшой по размеру запрос каждый memcached-сервер способен вернуть внушительный ответ — до 1 Мбайт; в итоге совокупный поток, который обрушивается на жертву, может усилиться в 50 тыс. раз.

Текущие DDoS с memcached-плечом уже побили все рекорды по мощности. Так, атаки на GitHub и крупнейшего хостинг-провайдера OVH на пике показали 1,3 Тбит/с, а атака, нацеленная на американского клиента Arbor Networks, — 1,7 Тбит/с.

1.3Tbps DDoS mitigated by our VAC, packet per packet .. (not with an ACL)
10000 source IPs, from 1608 AS pic.twitter.com/dD1zUmmfN3

— Octave Klaba (@olesovhcom) March 1, 2018

Комментируя публикацию PoC-кодов, глава некоммерческой ИБ-организации GDI Foundation Виктор Геверс (Victor Gevers) отметил, что они предупреждают владельцев memcached-серверов о возможности злоупотреблений уже почти два года, советуя усилить защиту и помещать такие устройства за межсетевым экраном.

«Мы тратим усилия на поиск владельцев, предупреждение о рисках, призывы к действию, — цитирует Bleeping Computer эксперта. — Увы, поскольку это не грозит утечкой, наши корреспонденты редко откликаются на письма. Теперь, когда PoC-инструменты и готовые списки опубликованы, можно ожидать значительный рост числа атак с memcached-усилением».

«Могу поспорить, что DDoS-сервисы не преминут включить Memcached в свой пакет услуг», — вторит Геверсу Дэниел Смит (Daniel Smith), аналитик из ИБ-компании Radware.

Выступая в прошлом году на конференции, эксперты Qihoo 360 тоже предупредили о возможности использования memcached-серверов в атаках, однако до недавнего времени с подобными DDoS китайские специалисты не сталкивались. Первые memcached-атаки Qihoo 360 зафиксировала 24 февраля, и за десять последующих дней исследователи насчитали около 15 тыс. таких DrDoS, более 7 тыс. мишеней и до 20 612 memcached-участников атаки.

Меры защиты

Чтобы уберечь свою инфраструктуру от злоупотреблений, многие поставщики облачных услуг уже начали ограничивать скорость передачи данных, отправляемых с UDP-порта 11211. Владельцы memcached-серверов тоже, наконец, вняли увещеваниям ввиду реальности угрозы: Rapid7 сообщает о резком сокращении числа серверов с открытым портом 11211, то же самое наблюдает Геверс.

Тем временем для жертв DrDoS с новым вектором появилась возможность самостоятельно остановить атаку. Один из разработчиков memcached-сервера, использующий псевдоним Dormando, предложил отправлять атакующим команды shutdown и flush_all. Первая принудительно завершает работу системы (что в общем-то незаконно, так как это чужой сервер), вторая очищает кэшируемую память сервера, в том числе от вредоносных пакетов.

For what it's worth, if you're getting attacked by memcached's, it's pretty easy to disable them since the source won't be spoofed. They may accept "shutdownrn", but also running "flush_allrn" in a loop will prevent amplification.

— dormando (@dormando) February 27, 2018

Подсказкой Dormando уже воспользовались в Corero — компании, специализирующейся на защите от DDoS. Эксперты опробовали flush_all в ходе реальной атаки и убедились, что подобный контрудар прекрасно работает, не создавая попутные риски.

Опубликовавший PoC-код Мохаммади тоже внес свою лепту в создание противоядия — написал Python-утилиту, позволяющую автоматизировать отправку команд flush_all и shutdown источникам вредоносных пакетов. Инструмент, нареченный Memfixed, уже выложен на GitHub. Названные команды можно посылать поочередно на каждый атакующий IP-адрес или групповым методом. Список IP составляется с помощью Shodan либо локально — в этом случае он сохраняется в файл servers.txt в той же папке, где находится утилита.

Кураторы проекта Memcached, со своей стороны, позаботились об исправлении ошибки конфигурации (CVE-2018-1000115) и выпустили обновление 1.5.6, отключающее UDP по умолчанию. В Corero, однако, заявили, что DDoS — не единственная угроза, связанная с данной уязвимостью, ее использование также позволяет украсть или модифицировать данные на сервере. Со слов Bleeping Computer, эту информацию эксперты уже донесли до американских ведомств, отвечающих за госбезопасность, с тем чтобы те подготовили и опубликовали соответствующие предупреждения.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля