Cảnh báo Memcached đang bị lạm dụng bởi kẻ xấu để tấn công DDos

Cloudflare và Arbor Networks cảnh báo giao thức memcached đang bị những kẻ xấu lợi dụng để khởi động các cuộc tấn công từ chối dịch vụ (DDoS)

Memcached là một hệ thống lưu trữ bộ nhớ được phân phối tự do và mã nguồn mở được thiết kế để làm việc với một số lượng lớn các kết nối mở nhằm tăng tốc độ truy xuất. Máy khách có thể liên lạc với các máy chủ memcached qua TCP hoặc UDP trên cổng 11211.

Theo Cloudflare, Arbor Networks và Qihoo 360, gần đây memcached đã bị những kẻ tấn công sử dụng trong các cuộc tấn công DDoS khuếch đại. Cloudflare gọi kiểu tấn công này là Memcrashed.

Kẻ tấn công dường như lạm dụng các máy chủ memcached không được bảo vệ có kích hoạt UDP. Tương tự như các phương pháp khuếch đại khác, kẻ tấn công gửi yêu cầu đến máy chủ được nhắm mục tiêu trên cổng 11211 và sử dụng địa chỉ IP giả phù hợp với IP của máy nạn nhân. Tuy các truy vấn được gửi đến máy chủ chỉ một vài byte, nhưng số lượng phản hồi lại lên đến hàng chục nghìn lần, dẫn đến một cuộc tấn công đáng kể.

Cloudflare đã ghi nhận cuộc tấn công DDoS memcached lớn nhất đạt 260 Gbps, nhưng Arbor Networks cho biết rằng họ đã kiểm tra được các cuộc tấn công lớn lên đến 500 Gbps và không chỉ dừng lại ở 1 trường hơp.

Marek Majkowski của CloudFlare cho biết: “Tôi rất ngạc nhiên khi biết rằng memcached lại sử dụng UDP. Các mô tả giao thức cho thấy rằng đó là một trong những giao thức tốt nhất để sử dụng cho khuếch đại bao giờ hết! Kiểm tra hoàn toàn bằng không và dữ liệu sẽ được gửi đến khách hàng, với tốc độ vượt bậc! Hơn nữa, truy vấn có thể rất nhỏ và phản hồi rất lớn (lên đến 1MB)”.

Arbor Networks lưu ý rằng các loại truy vấn được sử dụng trong các cuộc tấn công này cũng có thể được hướng đến TCP cổng 11211, nhưng vì các truy vấn TCP không thể giả mạo đáng tin cậy, do vậy mà giao thức này ít bị lạm dụng hơn.  Công ty này chỉ ra rằng các nhà nghiên cứu Trung Quốc đã cảnh báo về khả năng các vụ tấn công lạm dụng memcached vào tháng Mười Một vừa qua.

Cũng theo ghi nhận của Cloudflare về các vụ tấn công, những kẻ tấn công lạm dụng máy chủ đến từ khắp nơi trên thế giới, nhưng chủ yếu là từ Bắc Mỹ và Châu Âu. Phần lớn các máy chủ do OVH, DigitalOcean và Sakura lưu trữ.

Các cuộc tấn công được giám sát bởi mạng lưới phân phối nội dung (CDN) xuất phát từ khoảng 5.700 địa chỉ IP kết hợp với các máy chủ memcached, nhưng các chuyên gia nhận định sẽ có nhiều cuộc tấn công lớn hơn trong tương lai khi Shodan cho thấy có gần 88.000 máy chủ mở. Phần lớn các hệ thống bị lợi dụng là ở Hoa Kỳ, Trung Quốc và Pháp.

 ​

Theo đánh giá hiện tại của Arbor “giống như hầu hết các phương pháp tấn công DDoS khác, tấn công DDoS memcached ban đầu được thực hiện thủ công bởi những kẻ tấn công có tay nghề”.

Theo Cloudflare, người dùng nên tắt hỗ trợ UDP trừ khi cần thiết và các quản trị hệ thống đảm bảo rằng các máy chủ của họ không thể truy cập được từ Web. Các nhà cung cấp dịch vụ Internet (ISP) cũng có thể góp phần giảm thiểu các cuộc tấn công này và các kiểu tấn công khuếch đại khác bằng cách vá các giao thức tồn tại lỗ hổng và ngăn chặn giả mạo IP.

Bình luận

Bình luận

Gửi phản hồi