Novi rekordni DDoS napad, pogođen Githubov sajt
Iznenađenje je da DDoS nije izveden pomoću mreže IoT botova, već je iskorišćena ranjivost Memcached servera.
Najveći do sada DDoS napad (1,35 Tbps), zabeležen je 28. februara, a meta je bio Githubov sajt koji hostuje kod. Github je poznata kompanija za razvoj softvera. Ranije smo pisali o velikim DDoS napadima poput napada na francuski hosting provajder OVH (1Tbps) i Mirai botnet napada na DNS provajdera, kompaniju Dyn i Deutsche Telekom. Za razliku od ovih, ranijih napada, najnoviji napad nije izveden pomoću mreže botova (kompromitovanih IoT uređaja), već je iskorišćena neadekvatna konfiguracija Memcached servera kako bi se snaga DDoS napada mnogostruko pojačala.
Ranjivost Memcached servera
Pre nekoliko dana, javno je objavljena ranjivost Memcached servera, nazvana Memcrashed, koju su napadači eksploatisali kako bi DDoS napadu obezbedili čak 51.200 puta jaču snagu!
Memcached je popularni open-source i lako primenjiv caching sistem koji omogućava čuvanje objekata u memoriji. Napravljen je da radi sa velikim brojem otvorenih konekcija. Memcached serveri rade preko TCP ili UDP porta 11211.
Memcached aplikacije su napravljene da ubrzaju dinamičke web aplikacije smanjivanjem opterećenja baza podataka što omogućava administratorima da povećaju performanse i veličinu web aplikacija. Koriste ih hiljade sajtova, uključujući Facebook, Flickr, Twitter, Reddit, YouTube i Github.
Memcrashed napadači su iskoristili nezaštićene Memcached servere koji imaju omogućen UDP kako bi isporučili DDoS napad pojačan čak 51.200 puta. To je do sada nezabeležen metod pojačavanja snage DDoS napada.
Kako funkcioniše "pojačani" DDoS Memcrashed napad?
Ovi napadi su posledica nebezbedne implementacije UDP protokola. Kao i kod drugih metoda pojačavanja snage napada gde hakeri šalju zahtev male snage sa zamaskirane IP adrese kako bi dobili odgovor mnogo veće snage, i Memcrashed napad funkcioniše tako što šalje lažni zahtev serveru (ranjivom UDP serveru) preko porta 11211 sa zamaskirane IP adrese koja je ista kao IP adresa žrtve. Samo nekoliko bajtova poslatih ranjivom serveru aktivira na desetine hiljada jači odgovor.
Većina Memcached servera koji su zloupotrebljeni za pojačavanje DDoS napada su hostovani kod OVH, Digital Ocean, Sakura i drugih malih hosting provajdera. Ukupno je do sada otkriveno 5.729 jedinstvenih izvornih IP adresa koje su povezane sa ranjivim Memcached serverima, ali se očekuju još veći napadi zato što postoji najmanje 88.000 otvorenih servera.
Takođe, napad je moguće izvesti i preko TCP porta 11211 na pomenutim serverima, ali se TCP trenutno ne smatra visoko rizičnim jer TCP upite nije moguće pouzdano zamaskirati.
Na blogu Githuba stoji da je napad došao sa preko hiljadu različitih autonomnih sistema (ASN) preko desetina hiljada jedinstvenih endpointa. Snaga napada na vrhuncu je iznosila 1,35 Tbps preko 126,9 miliona paketa u sekundi.
Očekujte nove rekordne DDoS napade
Iako su posledice napada na Github sanirane, to ne znači da je problem sa ranjivim Memcached serverima rešen. Naprotiv, još uvek postoji nekoliko desetina hiljada ranjivih Memcached servera, a mnogi od njih su i dalje izloženi i mogu se eksploatisati za lansiranje potencijalno još većih napada na brojne druge mete.
Za sprečavanje zloupotrebe Memcached servera, preporučuje se da administratori koriste firewall, blokiranje ili limitiranje brzine UDP-a na izvornom portu 11211 ili da kompletno onemoguće podršku za UDP ukoliko se ne koristi. Treba napomenuti da, sve dok je dozvoljeno maskiranje IP adresa na internetu, internet provajderi ne mogu da pomognu u odbrani od ovakvih napada.
Izvor: The Hacker News