Un ataque DDoS de amplificación masiva golpeó a una compañía no divulgada con sede en EE. UU., Estableciendo un nuevo récord pocos días después de que un ataque similar derribara a GitHub. Un ataque DDoS utilizando la vulnerabilidad de Memcached para realizar un ataque de amplificación ha alcanzado 1.7 Tbps, un nuevo récord de velocidad de ataque DDoS.
La vulnerabilidad de Memcached se ha solucionado a través de un parche liberado por el equipo de Memcached que deshabilita UDP por defecto. Los profesionales de seguridad de la información recomiendan a los usuarios instalar el parche y alejarse del uso de UDP.
El grupo de seguridad de información Arbor NETSCOUT ha confirmado un ataque DDoS de 1,7 Tbps en una empresa estadounidense no divulgada, llevada a cabo a través de una vulnerabilidad de Memcached. Arbor pudo confirmar el ataque a través de su sistema de monitoreo ATLAS DDoS, por lo que este es el ataque DDoS más grande registrado hasta la fecha.
El ataque se produjo menos de una semana después de que una compañía de seguridad de la información reportó un ataque DDoS similar en GitHub, que alcanzó velocidades de 1,35 Tbps. Sorprendentemente, se reporto que el proveedor del servicio de la víctima del ataque pudo evitar cualquier interrupción, a pesar de la escala masiva de este último ataque.
Ambos ataques utilizaron la misma técnica de amplificación, que explota una vulnerabilidad en el protocolo de Memcached. Hasta que no se corrija la falla en los servidores de Memcached, dijo el experto en capacitación en seguridad de la información, Carlos Morales, en una publicación de blog, es probable que continúen ataques como este.
Memcached es un sistema de caché de memoria de código abierto que almacena datos de acceso frecuente en la RAM para acelerar los tiempos de acceso. Pero no fue diseñado para su uso en sistemas conectados a Internet, ya que el acceso no requiere autenticación, como comenta el profesional de la seguridad de la información.
La naturaleza abierta de Memcached permite a un atacante plantar una cantidad masiva de datos en un servidor expuesto, y luego usa una solicitud ‘get’ falsificada para dirigir el tráfico masivo a la dirección IP de la víctima. Esto puede sobrecargar la red de la víctima y afectar su servicio. Como explicó el especialista en seguridad de la información, la amplificación potencial de pequeñas cantidades de datos es enorme: 15 bytes de datos pueden generar una respuesta de 750 KB, una amplificación de 51,200x.
El ataque se basa en la suplantación de paquetes UDP para funcionar, que el equipo de Memcached abordó en un parche reciente lanzado para abordar el ataque de amplificación. La función principal del parche es desactivar UDP por defecto, lo que podría eliminar la propagación de ataques DDoS de terabyte que usan esta vulnerabilidad. Con más de 100,000 sistemas vulnerables en línea, será difícil eliminar esta fuente de ataques DDoS. Akamai predice que la popularidad de tales ataques solo crecerá, convirtiendo a esos 100.000 sistemas en los objetivos principales de los atacantes.
Los investigadores de seguridad de la información recomendaron que los servidores de Memcached orientados a Internet se actualicen a la última versión y tengan el UDP deshabilitado. Al igual que con otras vulnerabilidades de seguridad importantes, esta tiene un parche disponible que el desarrollador dice que puede resolver el problema. Es probable que las víctimas futuras sean las que no actualizaron sus instalaciones de Memcached.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad