Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Minacce

Server Memcached sfruttati per attacchi DDoS amplificati

DDoS  Memcached   giovedì, 1 marzo 2018

Memcached è un software open source di libero utilizzo che implementa un sistema distribuito di caching di oggetti in memoria ad alte prestazioni, progettato per alleviare il carico dei database e aumentare le prestazioni di applicazioni Web dinamiche ed altri servizi Internet.

A partire dallo scorso 24 febbraio, è stato osservato un notevole incremento in attacchi di tipo DDoS reflection/amplification che provengono da istanze di Memcached aperte ed accessibili dall’esterno. Il traffico malevolo proviene dalla porta UDP 11211 e raggiunge altissimi fattori di amplificazione. Sono stati registrati picchi nel volume del traffico malevolo fino a 500 Gbps.

L’uso della porta UDP rende l’effettuazione degli attacchi piuttosto semplice. L’attaccante non deve fare altro che memorizzare un payload di grandi dimensioni in un server Memcached esposto e successivamente inviare al server il messaggio di richiesta “get” eseguendo lo spoofing dell’indirizzo IP sorgente della macchina bersaglio dell’attacco

I server Memcached esposti sono distribuiti in tutto il mondo, con una maggiore concentrazione in Nord America e in Europa. Al momento si contano circa 88.000 istanze di Memcached aperte in totale. Si tenga presente che, come effetto collaterale dell’esposizione su Internet di questo servizio, che non richiede alcuna autenticazione, gli attaccanti potrebbero ottenere l’accesso completo al key-value store in memoria.

Allo scopo di mitigare la minaccia si consiglia di disabilitare il supporto UDP se non è in uso e di posizionare i server Memcached dietro un firewall. Inoltre, si consiglia di configurare i server Memcached per l’ascolto solo su localhost.

Per maggiori informazioni su questa minaccia e sulle soluzioni di mitigazione, è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Tecniche di mitigazione per attacchi DDoS da server Memcached

9 marzo 2018

Si descrivono alcune tecniche adottabili per mitigare gli attacchi DDoS su larga scala che sfruttano i server Memcached.Leggi tutto

La botnet Persirai prende di mira telecamere IP wireless

11 maggio 2017

I ricercatori di Trend Micro hanno scoperto Persirai, una nuova botnet formata da dispositivi IoT di tipo telecamere IP wireless, in grado di lanciare attacchi DDoS.Leggi tutto

Il malware per Linux ELF_IMEIJ si diffonde sfruttando vulnerabilità in dispositivi IoT

13 marzo 2017

I ricercatori di sicurezza di Trend Micro hanno scoperto un nuova famiglia di malware per Linux, identificata come ELF_IMEIJ, che prende di mira dispositivi IoT per la sorveglianza.Leggi tutto