'Nødafbryder' kan stoppe Memcached-baseret DDoS-angreb, mens de er i gang
De to rekordstore DDoS angreb, som bla. Version2 har omtalt på det sidste, har det til fælles, at de har udnyttet en svaghed ved frit tilgængelige servere med Memcached-systemet.
Svagheden gør det muligt at sende enorm trafik mod få eller enkelte IP-adresser, dette gør det muligt at forstærke DDoS-angreb betydeligt, uden brug af omfattende Botnets.
Memcached kom allerede i slutningen af februar med en opdatering, som ændrer standardindstillingerne. Dette gør, at UDP protokollen, som udnyttes i angrebene, er deaktiveret som standard.
“Flush-all”
Selvom mængden af frit tilgængelige memcached servere på det seneste blevet kraftigt reduceret, er der stadig nok tilbage til at udgøre et problem. I sidste uge blev en ny løsning på problemet annonceret. Den omtales som en “Kill Switch”, en nødafbryder, der kan stoppe et memcached angreb.
Ved at studere den sendte trafik under et angreb, kan man se hvilke servere, der udnyttes under angrebet. Ved så at sende en “flush-all” kommando til hver af disse servere kan man slettes cachen i serverne, inklusiv det payload, som angriberne har lagt der.
Det er selskabet Corero Network Security som hævder at have opdaget denne metode. Værktøjet skal have vist sig at være 100% effektivt under reelle angreb. Men selskabet tilbyder kun nødafbryderen til egne kunder. Selskabet tilbyder tjenester som beskytter kunderne bla. mod DDoS angreb.
Memfixed
I torsdags kom sikkerhedsspecialisten Amir Khashayar Mohammadi med et nyt Python-baseret værktøj, som kan gøre det samme og betydeligt mere. En del af ekstrafunktionaliteten bør man nok undlade at benytte.
Ifølge Bleeping Computer kan Memfixed slette cachen på Memcached-systemet. I samme mappe som Memfixed programmet ligger en tekstfil, servers.txt, hvori alle Memcached-serverne er angivet. Under et angreb vil værktøjet sende 'flush-all' kommandoen til hver eneste Memcached server, hvilket skulle stoppe angrebet.
Memfixed kan også kobles til programmeringsgrenessnittet til søgetjenesten Shodan for automatisk indhentning af IP-adresserne til de berørte Memcached-servere. Dermed vil cachen tømmes for samtlige sårbare servere, og ikke kun dem, som bruges i angrebet.
Mohammadi skriver, at metoden er uetisk, uanset hvordan man ser på det.
I tillæg til 'flush- all' kommandoen, støtter Memfixed også en 'shutdown' kommando. Også denne kan sendes til de berørte memcached servere. Da den deaktiverer memcached-systemet på serveren, overskrider man en grænse ved at benytte den, da man risikerer at hele tjenesten, som serveren understøtter, stopper med at virke. Dermed er man gået fra at forsvare sig selv, til at selv at være angriber.
Datatyveri
Corero Network Security skriver desuden, at memcached-svagheden kan bruges til at stjæle al den data, som ligger i cachen til tjenesten.
Memcached-protokollen blev designet til at kunne bruges uden indlogning, hvilket betyder, at alt hvad du lægger i en sårbar memcached-server kan blive stjålet af enhver på internettet, uden brugernavn, password eller revisionsspor, skriver selskabet. Nøglerne, som er knyttet til data skal nemlig, kunne afsløres ved hjælp af en enkelt debuggingkommando. Dertil kommer at angribere vil kunne modificere data i cachen, uden at dette opdages af serverejeren
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
