За последнюю неделю на DDoS-фронте произошло неприятное событие, которого следовало ожидать. В открытом доступе появились первые PoC-коды, облегчающие проведение мощнейших атак с memcached-плечом.

Один из этих инструментов, по свидетельству Bleeping Computer, представляет собой написанный на Python скрипт, позволяющий с помощью Shodan выявлять доступные из Интернета memcached-серверы и в считаные секунды организовывать DDoS-атаку на выбранную мишень. Как оказалось, этот PoC, именуемый Memcrashed, создал ИБ-исследователь Амир Мохаммади (Amir Khashayar Mohammadi).

Вторая утилита для автоматизации memcached-атак была выложена на Pastebin пятого марта анонимом. Этот скрипт написан на C и предлагается в комплекте со списком из более 17 тыс. IP-адресов, пригодных для использования в качестве “отражателей” DDoS-трафика.

Третий PoC, по свидетельству репортера, настолько мал, что уместился в сообщении, опубликованном в Twitter.

DDoS-атаки, использующие уязвимые memcached-серверы для отражения и усиления мусорного трафика (DrDoS), наблюдаются в Интернете с конца прошлого месяца. Поскольку такие серверы поддерживают UDP, возможна подмена источника запроса, что позволяет злоумышленникам направлять вредоносный поток на выбранную цель. Более того, на небольшой по размеру запрос каждый memcached-сервер способен вернуть внушительный ответ — до 1 Мбайт; в итоге совокупный поток, который обрушивается на жертву, может усилиться в 50 тыс. раз.

Текущие DDoS с memcached-плечом уже побили все рекорды по мощности. Так, атаки на GitHub и крупнейшего хостинг-провайдера OVH на пике показали 1,3 Тбит/с, а атака, нацеленная на американского клиента Arbor Networks, — 1,7 Тбит/с.

Комментируя публикацию PoC-кодов, глава некоммерческой ИБ-организации GDI Foundation Виктор Геверс (Victor Gevers) отметил, что они предупреждают владельцев memcached-серверов о возможности злоупотреблений уже почти два года, советуя усилить защиту и помещать такие устройства за межсетевым экраном.

“Мы тратим усилия на поиск владельцев, предупреждение о рисках, призывы к действию, — цитирует Bleeping Computer эксперта. — Увы, поскольку это не грозит утечкой, наши корреспонденты редко откликаются на письма. Теперь, когда PoC-инструменты и готовые списки опубликованы, можно ожидать значительного роста числа атак с memcached-усилением”.

“Могу поспорить, что DDoS-сервисы не преминут включить Memcached в свой пакет услуг”, — вторит Геверсу Дэниел Смит (Daniel Smith), аналитик из ИБ-компании Radware.

Выступая в прошлом году на конференции, эксперты Qihoo 360 тоже предупредили о возможности использования memcached-серверов в атаках, однако до недавнего времени с подобными DDoS китайские специалисты не сталкивались. Первые memcached-атаки Qihoo 360 зафиксировала 24 февраля, и за десять последующих дней исследователи насчитали около 15 тыс. таких DrDoS, более 7 тыс. мишеней и до 20 612 memcached-участников атаки.

Меры защиты

Чтобы уберечь свою инфраструктуру от злоупотреблений, многие поставщики облачных услуг уже начали ограничивать скорость передачи данных, отправляемых с UDP-порта 11211. Владельцы memcached-серверов тоже, наконец, вняли увещеваниям ввиду реальности угрозы: Rapid7 сообщает о резком сокращении числа серверов с открытым портом 11211, то же самое наблюдает Геверс.

Тем временем для жертв DrDoS с новым вектором появилась возможность самостоятельно остановить атаку. Один из разработчиков memcached-сервера, использующий псевдоним Dormando, предложил отправлять атакующим команды shutdown и flush_all. Первая принудительно завершает работу системы , вторая очищает кэшируемую память сервера, в том числе от вредоносных пакетов.

Подсказкой Dormando уже воспользовались в Corero — компании, специализирующейся на защите от DDoS. Эксперты опробовали flush_all в ходе реальной атаки и убедились, что подобный контрудар прекрасно работает, не создавая попутных рисков. Тем не менее, некоторых “коллег по цеху” тревожит этичность использования подобной опции, так как по сути это вмешательство в работу чужих систем.

Опубликовавший PoC-код Мохаммади тоже внес свою лепту в создание противоядия — написал Python-утилиту, позволяющую автоматизировать отправку команд flush_all и shutdown источникам вредоносных пакетов. Инструмент, нареченный Memfixed, уже выложен на GitHub. Названные команды можно посылать поочередно на каждый атакующий IP-адрес или групповым методом. Список IP составляется с помощью Shodan либо локально — в этом случае он сохраняется в файл servers.txt в той же папке, где находится утилита.

Кураторы проекта Memcached, со своей стороны, позаботились об исправлении ошибки конфигурации (CVE-2018-1000115) и выпустили обновление 1.5.6, отключающее UDP по умолчанию. В Corero, однако, заявили, что DDoS — не единственная угроза, связанная с данной уязвимостью, ее использование также позволяет украсть или модифицировать данные на сервере. Со слов Bleeping Computer, эту информацию эксперты уже донесли до американских ведомств, отвечающих за госбезопасность, с тем чтобы те подготовили и опубликовали соответствующие предупреждения.

Категории: DoS-атаки, Аналитика, Главное, Кибероборона, Уязвимости