Servidores Memcached vulnerable a ddos
Los ladrones pueden abusar de los servidores de Memcached para lanzar ataques DDoS increíblemente masivos usando muy pocos recursos computacionales en su extremo.
Este tipo de ataques DDoS son posibles debido a la forma no segura en que los desarrolladores de Memcache implementaron el soporte para el protocolo UDP en su producto.
Además, para empeorar las cosas, los servidores Memcached también exponen su puerto UDP a conexiones externas en la configuración predeterminada, lo que significa que cualquier servidor Memcache que no se encuentre detrás de un firewall puede ser abusado para ataques DDoS en este momento.
Los servidores Memcached pueden ser hackeados para ataques DDoS de reflexión
Cloudflare dice que detectó varios ataques DDoS llevados a cabo a través de servidores Memcached expuestos en los últimos días.
La compañía explica en un informe técnico que los ladrones envían pequeñas solicitudes de bytes a los servidores de Memcached en el puerto 11211. Como el protocolo UDP no se implementó correctamente, en lugar de responder con un paquete similar o más pequeño, los servidores de Memcache responden con paquetes que a veces miles de veces más grande que la solicitud inicial.
Debido a que es el protocolo UDP, la dirección IP de origen del paquete se puede falsificar fácilmente, lo que significa que el atacante puede engañar al servidor Memcache para que envíe estos paquetes de respuesta extragrandes a otra dirección IP, la IP de la víctima del ataque DDoS.
En la comunidad DDoS, este tipo de ataque DDoS se denomina DDoS reflexivo o DDoS de reflexión. La cantidad de veces que se amplifica el tamaño del paquete de respuesta es el "factor de amplificación" del ataque DDoS.
El factor de amplificación de Memcached puede llegar a 51.200 masivos
Según Cloudflare, los ataques DDoS de reflexión basados en Memcache pueden tener factores de amplificación de hasta 51.200. La compañía cita los últimos ataques DDoS lanzados contra su red, donde los atacantes envían paquetes de 15 bytes y los servidores Memcache responden con paquetes de 750kB a cambio.
Sin embargo, este factor de amplificación puede variar, dependiendo de la capacidad del atacante de crear solicitudes maliciosas que engañen al servidor para que responda con paquetes cada vez más grandes.
Cloudflare también dice que el mayor ataque DDoS basado en Memcached que mitigó los últimos dos días alcanzó un tamaño masivo de 260 Gbps (Gigabytes por segundo) y 23 Mpps (Millones de paquetes por segundo).
"La mayoría de los paquetes tienen un tamaño de 1400 bytes. Al hacer cálculos matemáticos de 23Mpps x 1400 bytes se obtienen 257Gbps de ancho de banda, exactamente lo que muestra el gráfico", dijo Marek Majkowski, un ingeniero Cloudflare.
Estadísticas Cloudflare en recientes ataques DDoS de Memcached
"Esto es masivo para un nuevo vector de amplificación", dijo Majkowski. "Pero los números no mienten".
Y las cifras realmente no mienten porque las estadísticas públicas provistas por el Laboratorio de Investigación de Seguridad de Red de Qihoo 360 (Netlab) muestran un aumento repentino en los servidores Memcache utilizados como fuente de ataques DDoS de reflexión.
Más de 93,000 servidores Memcache listos para tomar
Un factor de amplificación de 51,200 es enorme. Existen otros protocolos y tecnologías que se pueden abusar para los ataques DDoS de reflexión, como DNS, TFTP, LDAP, CLDAP, SNMP, BitTorrent y otros.
Los factores de amplificación suelen oscilar entre 2 y 10, con el mayor alcance entre 50 y 100. Rara vez se ve un ataque DDoS de reflexión con un factor de amplificación de más de 100, y mucho menos de 10.000 o 50.000, como es el caso de Memcached.
Esto no sería un gran problema si Memcache no fuera una solución popular de caché de páginas web. Bleeping Computer encontró más de 93,000 servidores Memcache fácilmente accesibles en línea. La buena noticia es que este número se ha reducido de más de 134,000 que estaban disponibles en línea en 2015.
Los expertos en seguridad están recomendando suplicar a los propietarios de los servidores de Memcache que deshabiliten su puerto UDP si no lo están utilizando y colocan estos servidores en redes privadas, detrás de los firewalls. Para que los servidores se inicien, Cloudflare incluye pasos sencillos sobre cómo deshabilitar el soporte UDP de Memcache en su informe reciente.
Después de los informes de Cloudflare, tanto Akamai como Arbor Networks también publicaron informes sobre este nuevo vector DDoS.