Bedrijf claimt 'kill-switch' voor ddos-aanvallen via memcached

[Captain Kirk]

Een Amerikaans securitybedrijf claimt dat het een 'kill-switch' heeft gevonden om ddos-aanvallen via publiek toegankelijke memcached-servers te stoppen. Daarnaast waarschuwen onderzoekers van Corero dat het ook mogelijk is om data van kwetsbare memcached-servers te stelen of manipuleren.

Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Oorspronkelijk was het niet ontworpen om via het internet toegankelijk te zijn. Wereldwijd zijn er echter nog zo'n 95.000 memcached-servers publiek toegankelijk.

Een aanvaller kan door ip-spoofing naar deze servers een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Dit heeft inmiddels geleid tot ddos-aanvallen met een recordomvang van 1,7 Tbps

Corero zegt dat er een oplossing voorhanden is. Er is namelijk een 'kill-switch' waarbij er een commando naar de aanvallende memcached-server wordt gestuurd om het huidige ddos-misbruik te stoppen. De "flush_all" tegenmaatregel zorgt ervoor dat de cache van de kwetsbare servers komt te vervallen, waaronder ook de grote, kwaadaardige antwoorden van de aanvallers. Volgens de onderzoekers is de maatregel 100 procent effectief en heeft die geen gevolgen voor de kwetsbare memcached-server. De informatie is inmiddels met "nationale veiligheidsdiensten" gedeeld, aldus Corero.

Verder ontdekten onderzoekers van het bedrijf dat het mogelijk is om informatie te stelen die memcached-servers van het lokale netwerk of host hebben opgeslagen. Het kan dan gaan om vertrouwelijke databasegegevens, klantdata of andere informatie. Ook is het mogelijk om de informatie aan te passen. "Door een eenvoudig debug-commando te gebruiken kunnen hackers de 'sleutels' van je data achterhalen. Daarnaast is het mogelijk om de data aan te passen en terug in het cache-geheugen te plaatsen, zonder dat de memcached-eigenaar dit weet", zo stelt het securitybedrijf. De Nederlandse beveiligingsonderzoeker Victor Gevers meldt op Twitter dat het aantal open memcached-servers gestaag aan het afnemen

 

 

bron: security.nl