Nuevas Pruebas de Concepto potencian el peligro de Memcached

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Se han lanzado en línea dos códigos de prueba de conceptos (PoC) separados para el ataque de amplificación de Memcached que podrían permitir incluso que los script-kiddies puedan lanzar ataques DDoS masivos utilizando reflexiones UDP fácilmente.

La primera herramienta DDoS está escrita en lenguaje de programación C y funciona con una lista precompilada de servidores Memcached vulnerables.

En la red existe una lista de casi 17,000 servidores Memcached vulnerables potenciales que quedan expuestos en Internet.

Mientras que la segunda herramienta de ataque DDoS de Memcached está escrita en Python que usa la API del motor de búsqueda Shodan para obtener una nueva lista de servidores Memcached vulnerables y luego envía paquetes UDP de origen falsos a cada servidor.

La semana pasada vimos dos ataques DDoS récord: 1,35 Tbps golpearon a Github y 1,7 Tbps atacaron a una empresa no identificada con sede en EE. UU.

Dichos ataques se llevaron a cabo utilizando una técnica llamada ataque de amplificación / reflexión.

Para los que no lo saben, el ataque de amplificación / reflexión basado en Memcached amplifica el ancho de banda de los ataques DDoS en un factor de 51,000 mediante la explotación de miles de servidores Memcached mal configurados que quedan expuestos en Internet.

Memcached es un popular sistema de caché de memoria distribuida, que apareció en las noticias la semana pasada cuando los investigadores detallaron cómo los hackers podrían abusar de él para lanzar un ataque DDoS de amplificación / reflexión enviando una solicitud falsificada al servidor Memcached objetivo en el puerto 11211 usando una IP falsificada dirección que coincida con la IP de la víctima.

Unos pocos bytes de la solicitud enviada al servidor Memcached vulnerable pueden desencadenar decenas de miles de veces una respuesta más grande contra la dirección IP objetivo, lo que da como resultado un poderoso ataque DDoS.

Desde la semana pasada, cuando se reveló Memcached como un nuevo vector de ataque de amplificación / reflexión, algunos grupos de cibercriminales comenzaron a explotar servidores Memcached no protegidos.

Pero ahora la situación empeorará con el lanzamiento del código de exploits PoC, permitiendo a cualquier persona lanzar ataques DDoS masivos, y no estará bajo control hasta que el último servidor Memcached vulnerable sea parchado, o firewall en el puerto 11211, o completamente desconectado.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris