Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MinacceVulnerabilità

Tecniche di mitigazione per attacchi DDoS da server Memcached

DDoS  Memcached   venerdì, 9 marzo 2018

Come già riportato in precedenza dal CERT Nazionale, a partire dallo scorso febbraio è stato osservato un notevole incremento in attacchi di tipo DDoS reflection/amplification provenienti da server Memcached aperti ed accessibili dall’esterno.

Gli attacchi sfruttano la porta UDP 11211 e raggiungono altissimi fattori di amplificazione. Durante i primi attacchi sono stati registrati picchi nel volume del traffico malevolo fino a 500 Gbps. Tra la fine di febbraio e i primi giorni di marzo gli attacchi si sono ulteriormente intensificati, facendo registrare picchi mai rilevati in precedenza, superiori alla soglia del Terabit (mille miliardi di bit) per secondo. Si segnalano in particolare, l’attacco condotto contro i server di GitHub (1,3 Tbps) e quello più recente ai danni di un service provider americano (1,7 Tbps), osservato da Netscout Arbor.

Il successo di questi attacchi è dovuto, oltre che alle caratteristiche intrinseche di Memcached, anche alla carenza di soluzioni di mitigazione messe in campo dalle aziende che utilizzano questa applicazione nelle proprie infrastrutture informatiche. In precedenza sono state indicate alcune soluzioni di mitigazione, tra le quali ricordiamo la disabilitazione del supporto UDP e il posizionamento dei server Memcached dietro un firewall.

Il team di sviluppo di Memcached ha riconosciuto la problematica in oggetto come vulnerabilità (CVE-2018-1000115) ed ha provveduto a rilasciare una versione aggiornata del prodotto, la 1.5.6, nella quale il supporto a UDP è disabilitato per impostazione predefinita. Si raccomanda a tutti i gestori di server Memcached di aggiornare i propri sistemi prima possibile.

Per quanto riguarda le tecniche adottabili per contrastare gli attacchi DDoS che sfruttano i server Memcached, si suggerisce di adottare le best practice per il filtraggio e la validazione degli indirizzi IP note come BCP38 e BCP84, utili a mitigare gli attacchi di tipo denial of service che sfruttano lo spoofing dell’indirizzo sorgente. A queste è possibile affiancare altre tecniche più avanzate, come ad esempio quella descritta nell’RFC 5635. Queste tecniche variano notevolmente nella loro portata e applicabilità.

Qualora non risultasse praticabile applicare le tecniche descritte, un’ulteriore possibilità consiste nell’inviare all’indirizzo IP di un server Memcached coinvolto in un attacco su larga scala (o ad un gruppo di indirizzi IP corrispondenti a server multipli) il comando flush_all, come suggerito anche dagli sviluppatori di Memcached.

Questo comando cancella la memoria cache del server Memcached, incluso il payload malevolo, rendendo di fatto inefficace l’attacco DDoS. L’invio del comando flush_all potrebbe essere automatizzato mediante opportuni script o integrato in soluzioni di protezione contro gli attacchi DDoS.

Memcached supporta anche il comando shutdown che, come è facile intuire, provoca l’arresto del server. L’uso di questo comando contro server di altre aziende è però altamente sconsigliato in quanto potrebbe interrompere illecitamente servizi legittimamente erogati, ricadendo in una delle fattispecie di reato informatico perseguibili penalmente.

Notizie correlate

Server Memcached sfruttati per attacchi DDoS amplificati

1 marzo 2018

A partire dallo scorso 24 febbraio, è stato osservato un notevole incremento in attacchi di tipo DDoS reflection/amplification che provengono da istanze di Memcached aperte ed accessibili dall’esterno. Leggi tutto

La botnet Persirai prende di mira telecamere IP wireless

11 maggio 2017

I ricercatori di Trend Micro hanno scoperto Persirai, una nuova botnet formata da dispositivi IoT di tipo telecamere IP wireless, in grado di lanciare attacchi DDoS.Leggi tutto

Il malware per Linux ELF_IMEIJ si diffonde sfruttando vulnerabilità in dispositivi IoT

13 marzo 2017

I ricercatori di sicurezza di Trend Micro hanno scoperto un nuova famiglia di malware per Linux, identificata come ELF_IMEIJ, che prende di mira dispositivi IoT per la sorveglianza.Leggi tutto