lunedì 5 marzo 2018

Memcached Server: le nuove armi per attacchi DDoS Reflection da record


Memcached è un sistema di caching distribuito in RAM per oggetti: è molto usato nell'ambito delle web app dinamiche per ridurre il carico sul database. Fornisce infatti alcuni dati ai quali l'accesso è più frequente direttamente nella memoria RAM. 

Da qualche giorno alcuni ricercatori hanno scoperto che i server Memcached vengono usati per lanciare attacchi DDoS massivi usando pochissime risorse computazionali. Tutto ciò è stato reso possibile a causa dell'implementazione, tutt'altro che sicura, da parte degli sviluppatori di Memcached del supporto per il protocollo UDP nei propri prodotti. Per peggiorare le cose i server Memcached espongono anche la loro porta UDP a connessioni esterne in configurazione di default: in parole povere significa che qualsiasi server Memcached non è protetto da firewall e può subire in qualsiasi momento attacchi DDoS. 

I server Memcached sono sotto attacco da qualche giorno: Cloudflare ha pubblicato un report dettagliato per spiegare il problema.

Come funzionano gli attacchi?
Gli attaccanti inviano richieste di piccolo peso ai server Memcached sulla porta 11211. Poichè il protocollo UDP non è correttamente implementato, invece di rispondere con un pacchetto di dimensioni simili o più piccolo, i server Memcached rispondono con pacchetti che sono, in alcuni casi, centinaia di volte più grandi della richiesta iniziale.

Ora, poichè si parla del protocollo UDP, bisogna dire che l'indirizzo IP di origine del pacchetto può facilmente essere falsificato: un attaccante quindi può facilmente ingannare un server Memcached indirizzando la pesante risposta del server stesso verso altri indirizzi IP, quelli cioè delle vittime. Tra gli esperti di attacchi DDoS questo tipo di attacco prende il nome di DDoS Reflection. 

Secondo Cloudflare gli attacchi DDoS eseguiti con questa tecnica possono avere fattori di amplificazione fino a 51.200: citano apertamente alcuni episodi realmente accaduti, dove gli aggressori hanno inviato pacchetti da 15 byte e i server Memcached hanno risposto con pacchetti da 750 kb. Questo fattore di amplificazione puà variare tuttavia in base alla capacità dell'aggressore di creare più richieste che ingannino il server e producano sempre più risposte e sempre più pesanti. 

Un paio di esempi
Cloudflare ha analizzato svariati attacchi: il 26 Febbraio è stato mitigato un attacco durato ben 2 giorni che aveva raggiunto il peso di oltre 260 Gbps (Gigabit per secondo) e 23 Mpps (Milioni di pacchetti al secondo).

"La maggioranza dei pacchetti (risposti da Memcache) sono di circa 1400 byte. Calcolando 23 Mpps x 1400 byte, abbiamo 257 Gbps di larghezza di banda" ha affermato Marek Majkowski, ingegnere di Cloudflare. 


L'attacco record
Il primo Marzo viene invece individuato l'attacco DDoS più devastante della storia, che ha raggiunto il peso di 1.35 Tbps (terabit per secondo) tramite 126,9 milioni di pacchetti al secondo. L'attacco ha colpito duramente GitHub, il famoso servizio di hosting per progetti software ed è durato oltre 8 minuti. Da GitHub hanno fatto sapere che i dati non sono a rischio e che:

"l'attacco si è originato da oltre un migliaio di differenti sistemi autonomi lungo decine di migliaia di endpoint unici. Si tratta di un attacco con amplificazione usando un approccio memcached". 

L'attacco a Github
Il fatto di amplificazione si è attestato attorno a 51.000: per ogni byte inviato all'attaccante, i server hanno risposto con 51kb inviati all'obiettivo.

Oltre 93.000 sono i server Memcached vulnerabili.

Nessun commento:

Posta un commento