Se han lanzado en línea dos códigos de exploraciones de conceptos (PoC) separados para el ataque de amplificación de Memcached que podrían permitir incluso que los script-kiddies puedan lanzar ataques DDoS masivos usando reflexiones UDP fácilmente.

La primera herramienta DDoS está escrita en lenguaje de programación C y funciona con una lista precompilada de servidores Memcached vulnerables.

Bonificación: su descripción ya incluye una lista de casi 17,000 servidores Memcached vulnerables potenciales que quedan expuestos en Internet.

Mientras que la segunda herramienta de ataque DDoS de Memcached está escrita en Python que usa la API del motor de búsqueda Shodan para obtener una nueva lista de servidores Memcached vulnerables y luego envía paquetes UDP de origen falsos a cada servidor.

La semana pasada vimos dos ataques DDoS récord-1.35 Tbps golpean Github y 1.7 Tbps atacan contra una compañía anónima con sede en los EE. UU., Que se llevaron a cabo utilizando una técnica llamada ataque de amplificación / reflexión.

Para los que no lo saben, el ataque de amplificación / reflexión basado en Memcached amplifica el ancho de banda de los ataques DDoS en un factor de 51,000 mediante la explotación de miles de servidores Memcached mal configurados que quedan expuestos en Internet.

Memcached es un popular sistema de caché de memoria distribuida, que apareció en las noticias la semana pasada cuando los investigadores detallaron cómo los hackers podrían abusar de él para lanzar un ataque DDoS de amplificación / reflexión enviando una solicitud falsificada al servidor Memcached objetivo en el puerto 11211 usando una IP falsificada dirección que coincida con la IP de la víctima.

Unos pocos bytes de la solicitud enviada al servidor Memcached vulnerable pueden desencadenar decenas de miles de veces una respuesta más grande contra la dirección IP objetivo, lo que da como resultado un poderoso ataque DDoS.

memcached-amplification-ddos-attack-tool

 

Para obtener una explicación detallada sobre cómo funciona el ataque de amplificación Memcached , puede dirigirse a nuestro artículo anterior.

Desde la semana pasada, cuando se reveló Memcached como un nuevo vector de ataque de amplificación / reflexión, algunos grupos de piratería comenzaron a explotar servidores Memcached no protegidos.

Pero ahora la situación empeorará con el lanzamiento del código de exploits PoC, permitiendo a cualquier persona lanzar ataques DDoS masivos, y no estará bajo control hasta que el último servidor Memcached vulnerable sea parchado, o firewall en el puerto 11211, o completamente desconectado.

Además, los grupos de ciberdelincuentes ya han comenzado a utilizar esta nueva técnica DDoS para amenazar a los grandes sitios web por extorsionar dinero.

Tras el ataque DDoS de GitHub la semana pasada, Akamai informó que sus clientes recibieron mensajes de extorsión junto con las cargas típicas de ataques «llenos de basura», pidiéndoles 50 XMR (monedas Monero), valoradas en más de $ 15,000.

Los ataques de reflexión / amplificación no son nuevos. Los atacantes han usado previamente esta técnica de ataque DDoS para explotar fallas en DNS , NTP, SNMP , SSDP , Chargen y otros protocolos para maximizar la escala de sus ciberataques.

Para mitigar el ataque y evitar que se abuse de los servidores Memcached como reflectores, la mejor opción es enlazar Memcached a una interfaz local o deshabilitar por completo el soporte UDP si no se usa.

Compartir