Skoči na vsebino
Varnostna obvestila /

SI-CERT 2018-02 / Napadi z odbojem preko memcached strežnikov

Povzetek

Memcached strežniki, ki odgovarjajo na zahtevke preko UDP protokola, se izkoriščajo v porazdeljenih napadih onemogočanja (angl. distributed denial-of-service, DDoS). Skrbnikom priporočamo omejitev dostopa do strežnika.

Opis

Memcached je sistem za predpomnenje podatkovnih baz v pomnilniku. Običajno se ti sistemi nahajajo v podatkovnih centrih in se uporabljajo za pohitritev dostopov do podatkovnih baz spletnih strani in drugih servisov na omrežju. Zaradi narave procesiranja podatkov, ki so lahko občutljivi, memcached sistemi ne bi smeli biti javno dostopni na omrežju brez ustreznih varoval. V večini privzetih konfiguracij strežnik posluša tako na TCP kot UDP vratih, vendar pa zgolj na loopback vmesniku (127.0.0.1).

V napadu z odbojem (imenovanem tudi napad z ojačanjem) storilec pošlje vprašanje s potvorjenim izvornim naslovom, ki ustreza naslovu žrtve, večjemu številu strežnikov, ki sprejemajo zahtevke na UDP vratih. Ti odgovorijo na podtaknjeni naslov in tako žrtev zasujejo z odgovori. Napad je učinkovit, če so odgovori zadosti večji od vprašanja (pride do zadostnega “ojačanja”) in če v napadu sodeluje zadostno število strežnikov. Potvarjanje TCP prometa ni zanesljivo, zato se v takih napadih izrabljajo zgolj storitve, ki uporabljajo UDP protokol. Najbolj pogosto se izrablja storitev DNS in NTP.

Memcached privzeto uporablja komunikacijska vrata 11211, pri čemer je lahko odgovor strežnika tudi do 50.000 krat večji od prejetega zahtevka, in je zaradi tega zelo primeren za namen ojačitvenih napadov. Za primerjavo: ojačitev rekurzivnega DNS strežnika je med 28 in 54, NTP strežnika pa okoli 550 [4].

Poleg možnosti zlorabe v omenjenih napadih izrecno opozarjamo tudi na to, da lahko memcached strežniki obdelujejo občutljive podatke. V primeru, da je strežnik javno dostopen na omrežju, lahko pride tudi to odtekanja podatkov [5].

Rešitev

Skrbnikom memcached strežnika svetujemo omejitev splošne dostopnosti iz interneta.

Skrbniki omrežij lahko za zaščito pred napadi implementirajo omejitev dohodnega in izhodnega prometa na vratih UDP/11211.

Viri

[1] https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
[2] https://blogs.akamai.com/2018/02/memcached-udp-reflection-attacks.html
[3] https://medium.com/@qratorlabs/the-memcached-amplification-attack-reaching-500-gbps-b439a7b83c98
[4] https://www.us-cert.gov/ncas/alerts/TA14-017A
[5] https://slo-tech.com/novice/t6855

Preberite tudi

Varnostna obvestila /

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več
Varnostna obvestila /

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več
Varnostna obvestila /

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več