Skoči na vsebino
Varnostna obvestila /

SI-CERT 2018-02 / Napadi z odbojem preko memcached strežnikov

Povzetek

Memcached strežniki, ki odgovarjajo na zahtevke preko UDP protokola, se izkoriščajo v porazdeljenih napadih onemogočanja (angl. distributed denial-of-service, DDoS). Skrbnikom priporočamo omejitev dostopa do strežnika.

Opis

Memcached je sistem za predpomnenje podatkovnih baz v pomnilniku. Običajno se ti sistemi nahajajo v podatkovnih centrih in se uporabljajo za pohitritev dostopov do podatkovnih baz spletnih strani in drugih servisov na omrežju. Zaradi narave procesiranja podatkov, ki so lahko občutljivi, memcached sistemi ne bi smeli biti javno dostopni na omrežju brez ustreznih varoval. V večini privzetih konfiguracij strežnik posluša tako na TCP kot UDP vratih, vendar pa zgolj na loopback vmesniku (127.0.0.1).

V napadu z odbojem (imenovanem tudi napad z ojačanjem) storilec pošlje vprašanje s potvorjenim izvornim naslovom, ki ustreza naslovu žrtve, večjemu številu strežnikov, ki sprejemajo zahtevke na UDP vratih. Ti odgovorijo na podtaknjeni naslov in tako žrtev zasujejo z odgovori. Napad je učinkovit, če so odgovori zadosti večji od vprašanja (pride do zadostnega “ojačanja”) in če v napadu sodeluje zadostno število strežnikov. Potvarjanje TCP prometa ni zanesljivo, zato se v takih napadih izrabljajo zgolj storitve, ki uporabljajo UDP protokol. Najbolj pogosto se izrablja storitev DNS in NTP.

Memcached privzeto uporablja komunikacijska vrata 11211, pri čemer je lahko odgovor strežnika tudi do 50.000 krat večji od prejetega zahtevka, in je zaradi tega zelo primeren za namen ojačitvenih napadov. Za primerjavo: ojačitev rekurzivnega DNS strežnika je med 28 in 54, NTP strežnika pa okoli 550 [4].

Poleg možnosti zlorabe v omenjenih napadih izrecno opozarjamo tudi na to, da lahko memcached strežniki obdelujejo občutljive podatke. V primeru, da je strežnik javno dostopen na omrežju, lahko pride tudi to odtekanja podatkov [5].

Rešitev

Skrbnikom memcached strežnika svetujemo omejitev splošne dostopnosti iz interneta.

Skrbniki omrežij lahko za zaščito pred napadi implementirajo omejitev dohodnega in izhodnega prometa na vratih UDP/11211.

Viri

[1] https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
[2] https://blogs.akamai.com/2018/02/memcached-udp-reflection-attacks.html
[3] https://medium.com/@qratorlabs/the-memcached-amplification-attack-reaching-500-gbps-b439a7b83c98
[4] https://www.us-cert.gov/ncas/alerts/TA14-017A
[5] https://slo-tech.com/novice/t6855

Preberite tudi

Varnostna obvestila /

SI-CERT 2024-04 / Kritična ranljivost v PAN-OS

Kritična ranljivost CVE-2024-3400 sistema PAN-OS omogoča oddaljeno izvajanje poljubne kode s pravicami root uporabnika.
Več
Varnostna obvestila /

SI-CERT 2024-03 / Kraje sredstev iz mobilnih bank preko okužbe z virusom Anatsa

Zlonamerne aplikacije, ki so bile na voljo v Google Play trgovini, omogočajo krajo sredstev iz mobilnih bank.
Več
Varnostna obvestila /

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več