Uwaga na serwery Memcached - są podatne na zmasowane ataki DDoS

W protokole UDP obsługującym serwery Memcached znajduje się dziura , która pozwala hakerom w stosunkowo prosty sposób inicjować ataki typu DDoS (Distributed Denial of Service), paraliżując w ten sposób ich pracę.

Podatność odkryli niedawno chińscy informatycy z grupy 0kee Team, publikując wyniki swoich badań tutaj (dokument pdf). W zeszłym tygodniu ich podejrzenia zostały potwierdzone przez amerykańską firmę Cloudflare, która specjalizuje się w świadczeniu usług CDN (Content Delivery Network; dostarczanie treści) oraz DNS).

Poinformowali też, że w ostatnich dniach odnotowali nawet kilku ataków na serwery, które wykorzystywały tę podatność. Upewniło ich to, że jest to rzeczywiście groźna podatność oraz pozwoliło im lepiej poznać zastosowaną przez hakerów metodę atakowania serwerów.

Zobacz również:

Informatycy donoszą, że hakerzy atakowali publicznie serwery wspierające mechanizm buforowania danych Memcached, wykorzystując do odbijania pakietów przez port UDP/TCP numer 11211.

Odkryli, że współczynnik odbicia pakietów przy tak przeprowadzonym ataku jest bardzo wysoki. Hakerzy generowali ruch o wielkości dochodzącej do 260 Gb/s. wysyłali do serwerów pakiety o długości 15 bajtów, a te odpowiadały im pakietami 750 KB.

Jaka jest na to rada. W serwerach Memcached należy blokować port UDP/TCP oznaczony numerem 11211 oraz unikać sytuacji, w których , serwery takie są wystawione w sieci publicznej. Należy je umieszczać za zaporami sieciowymi.


TOP 200