Ataque Memcached DDoS
Essa nova técnica de amplificação de ataques usando servidores Memcached vulneráveis na Internet (CVE-2018-1000115) já trouxe novos volumes record de ataques DDoS, atingindo recentemente 1,7 Tbps de tráfego em um ataque identificado contra um cliente da Arbor nos EUA. E a tendência obvia é que o tamanho dos ataques deve aumentar ainda mais, para a alegria dos ciber criminosos especializados em fazer extorsão (eles exigem uma certa quantia para não derrubar o seu site).
Estima-se que existam 95 mil servidores Memcached expostos na Internet, e que portanto podem ser utilizados em ataques DDoS.
Segundo uma empresa chinesa especializada em mitigação de ataques DDoS, os ciber criminosos já lançaram quase 15.000 ataques com a técnica Memcached contra 7.113 sites nos últimos dez dias, com alvo sites nos Estados Unidos, China, Hong Kong, Coréia do Sul, Brasil, França, Alemanha, Reino Unido, Canadá e Holanda. Segundo eles, no máximo 20.612 servidores Memcached vulneráveis participaram de um mesmo ataque.
A Cloudfare estima que a maioria dos servidores utilizados para amplificar os ataques estão localizados nos EUA, Alemanha e Hong Kong.
Como disse a Arbor muito bem, "O rápido aumento da frequência desses ataques indica que este vetor de ataque relativamente novo foi automatizado e começou a sero amplamente utilizado por atacantes dentro de um intervalo relativamente curto". O exploit dessa vulnerabilidade já está disponível online.
Segundo uma noticia recente, usando informações da NETSCOUT, esse ataque já está chegando ao Brasil. A NETSCOUT e a Arbor afirmam que desde o dia 16 de fevereiro elas tem observado um aumento do tráfego Memcached no Brasil, com tendência de alta para março. Elas especulam que isso indica a criação e crescimento de botnets que usam memcached para amplificação, possivelmente usando hosts zumbi comprometidos no Brasil.
A boa notícia é que descobriram uma forma de interromper um ataque DDoS usando essa técnica, aonde a vítima pode enviar um comando de "shutdown" ou "flush" volta para cada um dos servidores Mencached que estejam amplificando o ataque.
Para saber mais:
- Memcached Servers Abused for Massive Amplification DDoS Attacks
- 'Kill Switch' to Mitigate Memcached DDoS Attacks — Flush 'Em All
- Este artigo tem um bom resumão sobre esses ataques: "Memcached DDoS Attacks: 95,000 Servers Vulnerable to Abuse"
- Post legal da Arbor: "1 Terabit DDoS Attacks Become a Reality; Reflecting on Five Years of Reflections"
Nenhum comentário:
Postar um comentário