Memfixed envía comandos de vaciado o apagado a los servidores de Memcached vulnerables
Investigadores de seguridad han descubierto un "Kill Switch (interruptor de muerte)" que podría ayudar a las empresas a proteger sus sitios web bajo un ataque DDoS masivo lanzado utilizando servidores Memcached vulnerables.
Los ataques masivos de DDoS de reflexión Memcached, con un factor de amplificación sin precedentes de 50.000, recientemente resultaron en algunos de los ataques DDoS más grandes en la historia.
Para empeorar las cosas, alguien hizo público esta semana el código de prueba de concepto (PoC) para el ataque de amplificación de Memcached, lo que hace que sea más fácil para incluso los niños lanzar con el script ataques cibernéticos masivos.
A pesar de las múltiples advertencias, más de 12.000 servidores Memcached vulnerables con soporte UDP habilitado aún están disponibles en Internet, lo que podría generar pronto más ciberataques.
Sin embargo, la buena noticia es que los investigadores de Corero Network Security encontraron una técnica mediante la cual las víctimas de DDoS pueden enviar un comando simple, es decir, "shutdown\r\n", or "flush_all\r\n", en un bucle a los servidores Memcached atacantes para evitar la amplificación.
Donde, el comando flush_all simplemente vacía el contenido (todas las claves y sus valores) almacenados en el caché, sin reiniciar el servidor Memcached.
La compañía dijo que su interruptor de muerte ha sido probado de manera eficiente en servidores Memcached atacantes en vivo y se ha encontrado que es 100% efectivo, y que ya ha sido divulgado a agencias de seguridad nacional.
En base a este hallazgo, el investigador de seguridad Amir Khashayar Mohammadi - que se enfoca en análisis de malware, criptoanálisis, explotación web y otros vectores de ataque cibernético - ha creado y publicado una sencilla herramienta de mitigación DDoS, llamada Memfixed, que envía comandos de vaciado o apagado a los servidores de Memcached vulnerables.
Escrito en Python, Memfixed obtiene automáticamente una lista de servidores Memcached vulnerables utilizando la API Shodan para activar los comandos shutdown/flush.
Robar datos confidenciales de servidores Memcached
¿Qué es más? Los investigadores de Corero también afirman que la vulnerabilidad de Memcached (CVE-2018-1000115) es más extensa de lo que se informó inicialmente, y puede ser explotada más allá de aprovecharla para un ataque DDoS.
Sin revelar ningún detalle técnico, la compañía dijo que la vulnerabilidad de Memcached también podría ser explotada por atacantes remotos para robar o modificar datos de los servidores de Memcached vulnerables mediante la emisión de un simple comando de depuración.
Los sitios web dinámicos basados en bases de datos utilizan una aplicación Memcached para mejorar su rendimiento mediante el almacenamiento en caché de datos y objetos en la memoria RAM.
Dado que Memcached se diseñó para ser utilizado sin inicios de sesión ni contraseñas, los atacantes pueden robar de forma remota los datos confidenciales del usuario que ha almacenado en caché desde su red local o host sin requerir ninguna autenticación.
Los datos pueden incluir registros de bases de datos confidenciales, correos electrónicos, información del cliente del sitio web, datos de API, información de Hadoop y más.
"Al usar un simple comando de depuración, los hackers pueden revelar las 'claves' de sus datos y recuperar los datos del propietario desde el otro lado del mundo", dijo la compañía. "Además, también es posible modificar los datos maliciosamente y volver a insertarlos en la memoria caché sin el conocimiento del propietario de Memcached".
Se recomienda encarecidamente a los administradores del servidor que instalen la última versión de Memcached 1.5.6 que deshabilita el protocolo UDP de forma predeterminada para evitar ataques DDoS de amplificación/reflexión.
