março 12, 2018

[Segurança] Ataque do momento: Memcached DDoS

Nos últimos dias vimos um aumento significativo no poder de fogo dos ataques de negação de serviço distribuídos (Distributed Deny of Service, ou DDoS, em inglês). Isso aconteceu por causa da incorporação de uma nova técnica de ataque no ferramental existente, o que deu origem ao temido...

Ataque Memcached DDoS


Essa nova técnica de amplificação de ataques usando servidores Memcached vulneráveis na Internet (CVE-2018-1000115) já trouxe novos volumes record de ataques DDoS, atingindo recentemente 1,7 Tbps de tráfego em um ataque identificado contra um cliente da Arbor nos EUA. E a tendência obvia é que o tamanho dos ataques deve aumentar ainda mais, para a alegria dos ciber criminosos especializados em fazer extorsão (eles exigem uma certa quantia para não derrubar o seu site).

Estima-se que existam 95 mil servidores Memcached expostos na Internet, e que portanto podem ser utilizados em ataques DDoS.


Segundo uma empresa chinesa especializada em mitigação de ataques DDoS, os ciber criminosos já lançaram quase 15.000 ataques com a técnica Memcached contra 7.113 sites nos últimos dez dias, com alvo sites nos Estados Unidos, China, Hong Kong, Coréia do Sul, Brasil, França, Alemanha, Reino Unido, Canadá e Holanda. Segundo eles, no máximo 20.612 servidores Memcached vulneráveis participaram de um mesmo ataque.

A Cloudfare estima que a maioria dos servidores utilizados para amplificar os ataques estão localizados nos EUA, Alemanha e Hong Kong.



Como disse a Arbor muito bem, "O rápido aumento da frequência desses ataques indica que este vetor de ataque relativamente novo foi automatizado e começou a sero amplamente utilizado por atacantes dentro de um intervalo relativamente curto". O exploit dessa vulnerabilidade já está disponível online.

Segundo uma noticia recente, usando informações da NETSCOUT, esse ataque já está chegando ao Brasil. A NETSCOUT e a Arbor afirmam que desde o dia 16 de fevereiro elas tem observado um aumento do tráfego Memcached no Brasil, com tendência de alta para março. Elas especulam que isso indica a criação e crescimento de botnets que usam memcached para amplificação, possivelmente usando hosts zumbi comprometidos no Brasil.

A boa notícia é que descobriram uma forma de interromper um ataque DDoS usando essa técnica, aonde a vítima pode enviar um comando de "shutdown" ou "flush" volta para cada um dos servidores Mencached que estejam amplificando o ataque.

Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.