Tras los últimos ataques DDoS de 1.3 Tbps y 1.7 Tbps, los expertos de seguridad han empezado a preocuparse sobre el ancho de banda que tendrá el siguiente ataque distribuido. Con el descubrimiento de una vulnerabilidad en los servidores Memcached, y la publicación de una prueba de concepto totalmente funcional, se avecinan una serie de ataques DDoS inminentes, ataques muy complicados de detectar y mitigar y que podrían poner en jaque la seguridad de Internet, si no llega a ser por una técnica de emergencia que podría mitigar, casi por completo, este tipo de ataques.
Investigadores de la firma de seguridad Corero Network Security han dado a conocer una nueva técnica que nos va a permitir mitigar este tipo de ataques DDoS enviando un simple comando a los servidores Memcached que están realizando el ataque, deteniendo dicho ataque. Los expertos de seguridad aseguran que los servidores Memcached que llevan a cabo los ataques DDoSpueden procesar ciertos comandos de forma remota, como “shutdown\r\n” para apagar por completo el servidor o, si no queremos causar daños al administrador responsable de dicho sistema, enviar un “flush_all\r\n” para eliminar todos los datos en la caché del servidor de manera que detenga la actividad, y deje de amplificar el ataque, sin dejar de funcionar.
La firma de seguridad asegura que estos comandos son 100% efectivos en servidores Memcached vulnerables que están llevando a cabo un ataque en tiempo real, y que además no suponen ningún peligro para el correcto funcionamiento de los equipos (salvo que le ejecutemos el comando “shutdown”).
Actualmente se están llevando creando scripts para automatizar esta actividadde manera que en cuanto se empiecen a llevar a cabo ataques DDoS utilizando estos servidores se puedan mitigar sin que estos ataques causen daños masivos como le ha ocurrido a GitHub.
Esta vulnerabilidad puede ser utilizada para mucho más que un ataque DDoS
Por si realizar los ataques DDoS más grandes de la historia no fuera suficiente, la firma de seguridad que ha dado con esta vulnerabilidad asegura, sin dar datos técnicos, que puede ser utilizada para mucho más que un simple DDoS. Con unas sencillas modificaciones en el exploit es posible aprovecharse de esta vulnerabilidad para robar o modificar datos almacenados dentro del servidor, datos que pueden ser confidenciales, según para lo que se usen este tipo de servidores.
La última versión de Memcached 1.5.6 soluciona esta vulnerabilidad (aunque a la fuerza, deshabilitando el protocolo UDP por defecto), impidiendo que se puedan llevar ataques DDoS y protegiendo los datos de los servidores. Sin embargo, los administradores responsables de este tipo de servidores no tienen muchas intenciones de actualizar, y prefieren dejar los equipos vulnerables antes que dedicar unos minutos en instalar la nueva versión.
Igual si se empezara a utilizar el comando “shutdown” para mitigar los ataques, en lugar del “flush”, la cosa cambiaría.
Fuente:https://www.redeszone.net/2018/03/08/mitigar-ddos-memcached/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
