Descubren técnica para utilizar Memcached como aplificardor de ataques DDoS

Estándar

Los ciberdelincuentes han descubierto una forma de abusar de los servidores Memcached ampliamente utilizados para lanzar más de 51,000 ataques DDoS poderosos que su fuerza original, lo que podría resultar en la caída de los principales sitios web e infraestructura de Internet.

En los últimos días, los investigadores de seguridad de Cloudflare, Arbor Networks y la empresa de seguridad china Qihoo 360 notaron que los piratas informáticos ahora están abusando de “Memcached” para amplificar sus ataques DDoS por un factor sin precedentes de 51.200.

Memcached es un popular sistema de caché distribuido de código abierto y fácil de implementar que permite almacenar objetos en la memoria y ha sido diseñado para funcionar con una gran cantidad de conexiones abiertas. El servidor Memcached se ejecuta sobre el puerto TCP11 o UDP 11211.

La aplicación Memcached fue diseñada para acelerar las aplicaciones web dinámicas al reducir el estrés sobre la base de datos ayudando a los administradores de sistemas a aumentar el rendimiento de sus servidores y escalar las aplicaciones web. Es ampliamente utilizado por miles de sitios web, incluidos Facebook, Flickr, Twitter, Reddit, YouTube y Github.

El ataque a Memcached ha sido apodado Memcrashed por Cloudflare y aparentemente abusa los servidores Memcached sin protección que tienen UDP habilitado para amplificar ataques DDoS hasta 51,200 veces su potencia original, convirtiéndolo en el método de amplificación de ataque más potente jamás utilizado en Internet hasta el momento.

¿Cómo funciona el ataque de amplificación DDoS Memcrashed?

Al igual que otros métodos de amplificación donde los hackers envían una pequeña solicitud desde una dirección IP falsificada para obtener una respuesta mucho más grande como respuesta, el ataque de amplificación de Memcrashed funciona de forma similar, enviando una solicitud falsificada al servidor objetivo (servidor UDP vulnerable) en el puerto 11211 usando una IP falsificada que coincida con la IP de la víctima.

Según los investigadores, solo unos pocos bytes de la solicitud enviada al servidor vulnerable pueden desencadenar una respuesta de decenas de miles de veces más grande.

Según se puede leer en el informe de Cloudflare sobre la vulnerabilidad:

15 bytes de solicitud activaron 134 KB de respuesta. ¡Este es un factor de amplificación de 10,000x! En la práctica, hemos visto un resultado de solicitud de 15 bytes en una respuesta de 750 kB (eso es una amplificación de 51,200x),

Según los investigadores, la mayoría de los servidores de Memcached que son objeto de abuso para la amplificación de ataques DDoS están alojados en OVH, Digital Ocean, Sakura y otros proveedores de alojamiento pequeños.

En total, los investigadores han encontrado que solamente 5,729 direcciones IP únicas han sido asociadas a servidores Memcached vulnerables, pero según se lee en el informe de Cloudflare: “esperan ver ataques mucho más grandes en el futuro, ya que Shodan informa de 88,000 servidores Memcached abiertos”.

Arbor Networks por su parte, dió a conocer que las consultas de cebado de Memcached utilizadas en estos ataques también podrían dirigirse al puerto TCP 11211 en servidores Memcached que se pueden abusar.

Pero TCP actualmente no se considera un vector de reflexión/amplificación de Memcached de alto riesgo porque las consultas TCP no se pueden falsificar de manera confiable.

Los conocidos vectores de ataque de amplificación de DDoS que han sido detectados en el pasado incluyen servidores de resolución del sistema de nombres de dominio (DNS) poco seguros, que amplifican a aproximadamente 50 veces y protocolo de tiempo de red (NTP), que aumenta el volumen de tráfico a casi 58 veces.

Mitigación: ¿Cómo proteger servidores Memcached?

Una de las formas más sencillas de evitar el abuso de los servidores de Memcached como reflectores de tráfico es con el uso de firewalls, bloqueando o limitando el tráfico UDP en el puerto de origen 11211.

Dado que Memcached escucha en INADDR_ANY y se ejecuta con el soporte UDP habilitado de manera predeterminada, se recomienda a los administradores deshabilitar el soporte UDP si no lo están usando.

El tamaño del ataque potencialmente creado por la reflexión de Memcached no puede ser fácilmente defendido por los proveedores de servicios de Internet (ISP), siempre que la suplantación de IP sea permisible en Internet.