Close
Cerca
Filters

Chiudete quella porta !

Chiudete quella porta !

Un report di Akamai (https://blogs.akamai.com/2018/02/memcached-udp-reflection-attacks.html) è stato il primo a sollevare un allarme per gli addetti ai lavori,  riguarda una serie di attacchi DDOS con potenze di dati mai viste finora.

Lo strumento, responsabile, di questi attacchi è MemCached un tool utilizzato dai sistemisti di database per velocizzare le letture effettuate dai client.

Utilizzando appositi tool di "reflection" (tecnica per mascherare e sostituire l'IP mittente con quello del destinatario, è possibile sfruttare le funzionalità MemCached per moltiplicare un piccolo attacco DDOS da pochi Mb per ottenerne di enormi da diversi Gb !

La funzionalità MemCached avrebbe dovuto restare per scopi "interni", ma molti sistemisti hanno pensato di sfruttarlo su server pubblici (nell'ottica di migliorare le prestazioni delle loro applicazioni), il risultato è che, ad oggi, ci sono oltre 50.000 server MemCached pubblici e tutti questi sono, potenzialmente, sfruttabili per attacchi di questo tipo.

Lo strumento, utilizzato dagli attaccanti, e disponibile in rete, è MemCrashed:

MemCrashed

Utilizzando il servizio shodan per rilevare i siti in grado di effettuare una reflection corretta, si ottengono circa 17.000 siti pronti all'uso. L'attacco più eclatante effettuato con questo sistema è stato di 1,7 Tbps (valore mai raggiunto prima).

Ci si aspetta una grande escalation sull'utilizzo di questo sistema !

La prima arma di difesa, per tenere al sicuro il proprio server, almeno per l'effetto del reflection è di chiudere la porta 11211 (sia UDP che TCP), impiegata proprio da questi strumenti per "mascherarsi" sotto altri IP e continuare con l'attacco in modo indisturbato.

Lascia un commento