Os cibercriminosos que disparam ataques de negação de serviço distribuídos (DDos) agora estão empregando uma técnica nova e altamente eficaz ao seu arsenal para amplificar os ataques em até 51,2 mil vezes, usando servidores memcached mal-configurados acessados via Internet.
A técnica foi reportada pela Akamai, Arbor Networks e Cloudflare esta semana. As empresas observaram um aumento nos ataques DDoS usando pacotes UDP (User Datagram Protocol), amplificados pelos servidores memcached, nos últimos dois dias. Essas máquinas são um tipo de servidor utilizado para reforçar a capacidade de resposta dos sites baseados em banco de dados, melhorando o sistema de cache de memória.
“Infelizmente, há várias implementações de memcached em todo o mundo usando a configuração insegura padrão”, escreveu Marek Majkowski, engenheiro da Cloudflare, em descrição técnica dos ataques DDoS.
Ataques de reflexão ocorrem quando um atacante forja os endereços IP da vítima para estabelecer os sistemas dela como fonte de pedidos enviados para uma grande quantidade de máquinas. Os destinatários emitem milhões de respostas à rede da vítima e, finalmente, a derrubam. Esse tipo de ataque DDoS difere dos de amplificação, em que servidores DNS abertos de acesso público são usados para inundar vítimas com respostas DNS.
No caso de ataques de amplificação, os invasores puderam enviar uma solicitação de pacote baseada em UDP de pequeno tamanho ao servidor memcached (na porta 11211). Os pacotes seriam falsificados para aparecer como se fossem enviados do alvo pretendido do ataque DDoS. Em resposta, o servidor memcached envia ao alvo falsificado uma resposta massivamente desproporcional.
“Quinze bytes de solicitação desencadearam 134KB de resposta. É um fator de ampliação de 10 mil vezes! Na prática, vimos um resultado de 15 bytes com resposta de 750KB (amplificação de 51 200x) “, disse Majkowski.
As implicações de tal ataque, que requer tão poucos recursos com impacto tão grande, são abrangentes, não apenas contra as vítimas, mas também em termos de infra-estrutura crítica de rede, disseram os pesquisadores.
“É difícil determinar o fator de amplificação exato do memcached, mas os ataques que a Akamai viu geraram quase 1 Gbps por refletor. Outras organizações relataram ataques acima de 500 Gbps”, de acordo com alerta da Akamai.
De acordo com estimativas, existem mais de 88 mil servidores abertos vulneráveis a abusos. Servidores memcached vulneráveis foram identificados globalmente, com a maior concentração na América do Norte e na Europa, disse a Cloudflare.
Para piorar as coisas, esses servidores suportam UDP, protocolo de comunicação alternativo para o TCP e considerados maduros para abusos em ataques de amplificação.
“A especificação do UDP mostra ser um dos melhores para amplificação! Há absolutamente zero verificações, e os dados são entregues ao cliente com velocidade máxima! Além disso, o pedido pode ser minúsculo e a resposta enorme”, observaram os pesquisadores da Cloudflare.
“Semelhante à maioria dos ataques de reflexão e amplificação anteriores, a principal solução para ataques memcached é não ter os refletores expostos na Internet. No entanto, confiar em administradores remotos de sistemas para remover seus servidores da Internet não é uma solução de resultados imediatos. Entretanto, as organizações precisam estar preparadas para mais ataques multigigabit usando este protocolo”, disse a Akamai.
*com informações do Threatpost