Oracle acaba de lanzar una actualización de seguridad para evitar que 2,3 millones de servidores que ejecutan el servicio RPCBIND se utilicen en ataques DDoS amplificados.
La falla fue descubierta por el investigador brasileño Mauricio Corrêa, fundador de la compañía de seguridad brasileña XLabs. La explotación de esta vulnerabilidad podría causar grandes problemas en Internet.
"Una prueba de concepto (POC) realizada en un solo servidor XLabs generó un tráfico de 69 gigabits por segundo", dijo Mauricio a Cibersecurity.net.br.
En el momento del descubrimiento, el experto consultó a Shodan y descubrió que había casi 2.6 millones de servidores que ejecutaban RPCBIND en Internet. La multiplicación de este exploit en una granja de servidores de 2.6 millones lleva a una conclusión aterradora.
RPCBIND es un software que proporciona a los programas clientes la información que necesitan sobre los programas de servidor disponibles en una red. Se ejecuta en el puerto 111 y responde con direcciones universales de los programas del servidor para que los programas del cliente puedan solicitar datos a través de RPC (llamadas a procedimientos remotos).
Estas direcciones están formadas por el grupo de IP del servidor más el puerto. Desde su lanzamiento, RPCBIND ha recibido actualizaciones que cubren varios fallos, incluida la seguridad. Este es, sin embargo, es el hallazgo más serio hasta ahora.
El descubrimiento del accidente comenzó el 11 de junio de este año. En ese día, uno de los cortafuegos de la aplicación web (WAF) en el XLabs SOC (centro de operaciones de seguridad) detectó un patrón anormal de tráfico que llamó la atención de Mauricio.
“Entonces decidimos abrir un servidor con el puerto en Internet, con las mismas características que nos han atacado y monitoreado ese servidor durante las semanas. Descubrimos que estaba recibiendo solicitudes para generar ataques ", explicó.
Después de un mayor análisis del tema, fue posible reproducir el ataque en el laboratorio.
"Al analizar los servidores se confirmó en la magnitud del problema", continúa Mauricio.
El problema descubierto por Mauricio es peor que el de Memcrashed , detectado en febrero de este año. En este tipo de ataque de denegación de servicio distribuido (DDoS), el tráfico malicioso generado con la técnica es mayor que el que alguna vez se asoció con el uso de memcached, un servicio que no requiere autenticación pero que ha sido expuesto en Internet por administradores de sistemas inexpertos. . El servicio se ejecuta en el puerto UDP 11211 y su explotación por parte de los ciberdelincuentes ya ha generado un tráfico de 260GB según las mediciones de la compañía Cloudflare.
Después de desarrollar el POC, Mauricio informó el problema del equipo de seguridad de Oracle, RPCBIND es una solución originada por Sun, que fue adquirida por la empresa en 2010.
Envió la información a Oracle para que los expertos de la empresa pudieran confirmar y evaluar el problema. La confirmación llegó por correo electrónico (ver imagen), con el anuncio de la fecha de publicación del parche. Fue el martes 16 de octubre de 2019 a las 5:00 pm, hora de Brasilia, 1:00 pm en San Francisco, California.
Fecha actualización el 2021-10-17. Fecha publicación el 2018-10-17. Categoría: oracle Autor: Oscar olg Mapa del sitio Fuente: securityaffairs