Skoči na vsebino

SI-CERT 2018-02 / Napadi z odbojem preko memcached strežnikov

Povzetek

Memcached strežniki, ki odgovarjajo na zahtevke preko UDP protokola, se izkoriščajo v porazdeljenih napadih onemogočanja (angl. distributed denial-of-service, DDoS). Skrbnikom priporočamo omejitev dostopa do strežnika.

Opis

Memcached je sistem za predpomnenje podatkovnih baz v pomnilniku. Običajno se ti sistemi nahajajo v podatkovnih centrih in se uporabljajo za pohitritev dostopov do podatkovnih baz spletnih strani in drugih servisov na omrežju. Zaradi narave procesiranja podatkov, ki so lahko občutljivi, memcached sistemi ne bi smeli biti javno dostopni na omrežju brez ustreznih varoval. V večini privzetih konfiguracij strežnik posluša tako na TCP kot UDP vratih, vendar pa zgolj na loopback vmesniku (127.0.0.1).

V napadu z odbojem (imenovanem tudi napad z ojačanjem) storilec pošlje vprašanje s potvorjenim izvornim naslovom, ki ustreza naslovu žrtve, večjemu številu strežnikov, ki sprejemajo zahtevke na UDP vratih. Ti odgovorijo na podtaknjeni naslov in tako žrtev zasujejo z odgovori. Napad je učinkovit, če so odgovori zadosti večji od vprašanja (pride do zadostnega “ojačanja”) in če v napadu sodeluje zadostno število strežnikov. Potvarjanje TCP prometa ni zanesljivo, zato se v takih napadih izrabljajo zgolj storitve, ki uporabljajo UDP protokol. Najbolj pogosto se izrablja storitev DNS in NTP.

Memcached privzeto uporablja komunikacijska vrata 11211, pri čemer je lahko odgovor strežnika tudi do 50.000 krat večji od prejetega zahtevka, in je zaradi tega zelo primeren za namen ojačitvenih napadov. Za primerjavo: ojačitev rekurzivnega DNS strežnika je med 28 in 54, NTP strežnika pa okoli 550 [4].

Poleg možnosti zlorabe v omenjenih napadih izrecno opozarjamo tudi na to, da lahko memcached strežniki obdelujejo občutljive podatke. V primeru, da je strežnik javno dostopen na omrežju, lahko pride tudi to odtekanja podatkov [5].

Rešitev

Skrbnikom memcached strežnika svetujemo omejitev splošne dostopnosti iz interneta.

Skrbniki omrežij lahko za zaščito pred napadi implementirajo omejitev dohodnega in izhodnega prometa na vratih UDP/11211.

Viri

[1] https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
[2] https://blogs.akamai.com/2018/02/memcached-udp-reflection-attacks.html
[3] https://medium.com/@qratorlabs/the-memcached-amplification-attack-reaching-500-gbps-b439a7b83c98
[4] https://www.us-cert.gov/ncas/alerts/TA14-017A
[5] https://slo-tech.com/novice/t6855

Preberite tudi

SI-CERT 2021-03 Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več

SI-CERT 2021-02 / Kritične ranljivosti Exim poštnega strežnika

V sistemu za posredovanje e-sporočil (MTA) Exim je bilo odkritih več varnostnih pomanjkljivosti, med njimi so tudi take, ki omogočajo izvajanje ukazov na daljavo s povišanimi (root) pravicami (remote command execution – RCE). Ranljivosti so prisotne v vseh različicah Exim MTA izdanih do trenutno zadnje verzije 4.94.2. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico.
Več

SI-CERT 2021-01 / Kritične ranljivosti Microsoft Exchange strežnikov

Microsoft je izdal popravke, s katerimi je zakrpal več 0-day kritičnih ranljivosti Microsoft Exchange strežnikov. Po podatkih Microsofta naj bi se pred izdajo popravkov ranljivosti že izkoriščale v posameznih napadih, po podatkih drugih odzivnih centrov pa naj bi bil obseg izkoriščanja ranljivosti precej večji, kot je bilo prvotno domnevano.
Več