DDoS-aanvallen op basis van Memcached servers kunnen nu worden verzacht, onderzoekers zeggen. De beperking methode omvat het slachtoffer het verzenden van een “flush_all” commando terug naar de servers die de aanval geïnitieerd. Deze methode werd enkele dagen geleden voorgesteld door één van de Memcached server ontwikkelaars.
Echter, niemand echt aandacht besteed aan het tot het moment dat een bedrijf, Corero, zei dat het geïntegreerde deze techniek ... en het werkte.
Dit is de originele tip gegeven door Memcached ontwikkelaar dormando:
Voor wat het waard is, Als je krijgt aangevallen door memcached's, Het is vrij eenvoudig om ze uit te schakelen, omdat de bron niet wordt vervalst. Zij kunnen aanvaarden “shutdown r n”, maar ook hardlopen “flush_all r n” in een lus versterking te voorkomen.
Corero security experts gezegd dat de methode 100 procent effectief tijdens een live-aanval, en dat ze niet hebben waargenomen geen collateral damage.
DDoS-aanvallen gebeurt via Memcached Servers Fout
Zoals reeds schreef, net vorige week een record DDoS aanval vond plaats - geregistreerde bij 1.3 Tbps. Het doel was GitHub, met de aanval is gebaseerd op een fout in Memcached servers die onlangs openbaar werd gemaakt. Het werd duidelijk dat cybercriminelen kunnen Memcached servers te benutten voor het uitvoeren van grootschalige DDoS aanvallen die niet veel van computationele resources vereisen, volgens de onderzoekers.
Paar dagen voorbij, en een record-, grootschalige DDoS plaatsvond - een aanval bij 1.7 Tbps die werd gedetecteerd door Netscout Arbor. De aanval was gericht tegen een klant van een US-based service provider. Niet verrassend, de DDoS was gebaseerd op dezelfde memcached reflectie / amplificatie werkwijze bekend uit de aanval op GitHub.
Het is nu bekend dat bedrijven die niet zijn geactiveerd, gespecialiseerde DDoS mitigatie diensten scripts die de volgende opdrachten te integreren kunnen implementeren – “afsluiten” en “flush_all”, zoals aanbevolen door de Memcached ontwikkelaar. Deze twee commando's dienen af te sluiten aanvallen servers, en verwijder zo nodig cache met kwaadaardige pakketten die in gebreke is gebleven voor de amplificatie effect van deze nieuwste DDoS-aanvallen.
Het goede nieuws is dat Memcached v1.5.6 is de vaststelling van dit probleem leidt tot DDoS-aanvallen. De aanvallen kunnen gebeuren omdat de servers online toegankelijk waren. Hun standaardconfiguratie blootgesteld port11211 leveraged door aanvallers om DDoS-aanvallen te versterken.
De Memcached team is momenteel de aanpak van dit probleem geïdentificeerd als CVE-2018-1000115.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: