Archivi categoria: memcached

Trovato il modo per fermare il DDoS di memcached

Facebooktwittergoogle_plusredditlinkedin

Sicuramente, se avete tra i sistemi che gestite un memcached, questa non può che essere un’ottima notizia.

Per chi non lo conoscesse, memcached è un sistema di caching in RAM ad oggetti, utilizzato prevalentemente per l’accelerazione del caricamento di siti web, anche se in realtà può essere utilizzato per tantissime altre cose.

Tutto è nato ad inizio Marzo, quando gli amministratori di sistema di GitHub hanno dovuto gestire il più grande attacco DDoS (Distributed Denial of Service) della storia: 1,35Tbps di traffico di picco, seguiti da un’altro picco a 400Gbps, e poi diversi altri.

Ma da cosa era stato generato tutto questo traffico? Da diversi memcached aperti su internet, con il protocollo UDP abilitato. Inviando un pacchetto creato ad-hoc si poteva “ingannare” questi memcached e forzarli a chiamare insistentemente un indirizzo bersaglio, con una ratio di 1:50000 (1 pacchetto udp ricevuto si trasformava in 50000 chiamate effettuate dai memcached).

Fortunatamente Corero, azienda che si occupa di soluzioni, prodotti e servizi per mitigare e contrastare attacchi di tipo DDoS, ha trovato un modo affinché il server attaccato “resetti” i memcached attaccanti, bloccando il flusso di chiamate. L’azienda ha affermato di aver testato il metodo su reali server che stavano eseguendo il flood, e che la sua soluzione funziona al 100%, e senza effetti collaterali.

Il problema è quindi risolto. Nel frattempo è stata aperta la CVE-2018-1000115 per la versione 1.5.5, e gli sviluppatori di memcached hanno già rilasciato la 1.5.6 che risolve il problema disabilitando il protocollo UDP di default, richiedendo una configurazione specifica per riattivarlo.

Aggiornate quindi gente, perché purtroppo tool per lanciare gli attacchi sono facilmente disponibili online, come su Pastebin ed – ironia della sorte – su GitHub stesso.