Izberite jezik

SI-CERT 2018-02 / Napadi z odbojem preko memcached strežnikov

01.03.2018

Povzetek

Memcached strežniki, ki odgovarjajo na zahtevke preko UDP protokola, se izkoriščajo v porazdeljenih napadih onemogočanja (angl. distributed denial-of-service, DDoS). Skrbnikom priporočamo omejitev dostopa do strežnika.

Opis

Memcached je sistem za predpomnenje podatkovnih baz v pomnilniku. Običajno se ti sistemi nahajajo v podatkovnih centrih in se uporabljajo za pohitritev dostopov do podatkovnih baz spletnih strani in drugih servisov na omrežju. Zaradi narave procesiranja podatkov, ki so lahko občutljivi, memcached sistemi ne bi smeli biti javno dostopni na omrežju brez ustreznih varoval. V večini privzetih konfiguracij strežnik posluša tako na TCP kot UDP vratih, vendar pa zgolj na loopback vmesniku (127.0.0.1).

V napadu z odbojem (imenovanem tudi napad z ojačanjem) storilec pošlje vprašanje s potvorjenim izvornim naslovom, ki ustreza naslovu žrtve, večjemu številu strežnikov, ki sprejemajo zahtevke na UDP vratih. Ti odgovorijo na podtaknjeni naslov in tako žrtev zasujejo z odgovori. Napad je učinkovit, če so odgovori zadosti večji od vprašanja (pride do zadostnega “ojačanja”) in če v napadu sodeluje zadostno število strežnikov. Potvarjanje TCP prometa ni zanesljivo, zato se v takih napadih izrabljajo zgolj storitve, ki uporabljajo UDP protokol. Najbolj pogosto se izrablja storitev DNS in NTP.

Memcached privzeto uporablja komunikacijska vrata 11211, pri čemer je lahko odgovor strežnika tudi do 50.000 krat večji od prejetega zahtevka, in je zaradi tega zelo primeren za namen ojačitvenih napadov. Za primerjavo: ojačitev rekurzivnega DNS strežnika je med 28 in 54, NTP strežnika pa okoli 550 [4].

Poleg možnosti zlorabe v omenjenih napadih izrecno opozarjamo tudi na to, da lahko memcached strežniki obdelujejo občutljive podatke. V primeru, da je strežnik javno dostopen na omrežju, lahko pride tudi to odtekanja podatkov [5].

Rešitev

Skrbnikom memcached strežnika svetujemo omejitev splošne dostopnosti iz interneta.

Skrbniki omrežij lahko za zaščito pred napadi implementirajo omejitev dohodnega in izhodnega prometa na vratih UDP/11211.

Viri

[1] https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
[2] https://blogs.akamai.com/2018/02/memcached-udp-reflection-attacks.html
[3] https://medium.com/@qratorlabs/the-memcached-amplification-attack-reaching-500-gbps-b439a7b83c98
[4] https://www.us-cert.gov/ncas/alerts/TA14-017A
[5] https://slo-tech.com/novice/t6855