Los atacantes usaron servidores Memcached mal configurados
El miércoles 28 de febrero de 2018 el sitio web de hospedaje de código, GitHub, sufrió el ataque distribuido denegación de servicio (DDoS) más grande jamás visto que alcanzó un récord de 1.35 Tbps.
Curiosamente, los atacantes no usaron ninguna red de bots para amplificar el ataque DDoS, sino servidores Memcached mal configurados.
A principios de esta semana se dio a conocer un informe que detalla cómo podrían los atacantes abusar de Memcached, el popular sistema de caché distribuido de código abierto y fácil de implementar, para lanzar un ataque DDoS 51.000 veces más potente que su fortaleza original.
Denominado Memcrashed, el ataque DDoS de amplificación funciona enviando una solicitud falsificada al servidor Memcrashed de destino en el puerto 11211 utilizando una dirección IP falsificada que coincide con la IP de la víctima.
Unos pocos bytes de la solicitud enviada al servidor vulnerable provocan decenas de miles de respuestas más grandes contra la dirección IP seleccionada.
"Este ataque fue el ataque más grande visto hasta la fecha por Akamai, más del doble del tamaño de los ataques de septiembre de 2016 que anunciaron el botnet Mirai y posiblemente el mayor ataque DDoS divulgado públicamente", dijo Akamai, una compañía de computación en la nube que ayudó a Github a sobrevivir al ataque.
En una publicación en su blog de ingeniería, Github dijo: "El ataque se originó en más de mil sistemas autónomos diferentes (ASN) en decenas de miles de endpoints únicos. Fue un ataque de amplificación utilizando el enfoque basado en Memcached descrito anteriormente que alcanzó un máximo de 1.35Tbps a través de 126.9 millones de paquetes por segundo".
Esperando más ataques DDoS que rompan récords
Aunque los ataques de amplificación no son nuevos, este vector de ataque evoluciona a miles de servidores Memcached mal configurados, muchos de los cuales aún están expuestos en Internet y podrían ser explotados pronto para lanzar ataques potencialmente más masivos contra otros objetivos.
Para evitar que se abuse de los servidores de Memcached como reflectores, los administradores deben considerar la posibilidad de cortafuegos, bloquear o limitar la velocidad de UDP en el puerto de origen 11211 o deshabilitar completamente el soporte de UDP si no están en uso.