image

Red Hat geeft advies om memcached-servers te beveiligen

maandag 5 maart 2018, 11:18 door Redactie, 4 reacties

Naar aanleiding van de ddos-aanvallen die via publiek beschikbare memcached-servers worden uitgevoerd heeft Red Hat advies gepubliceerd om dergelijke systemen te beveiligen. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist.

Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd.

Vorige week werd GitHub doelwit van de grootste ddos-aanval ooit, die via memcached-servers was uitgevoerd. De aanval had een omvang van 1,3 Tbps. Inmiddels worden verschillende websites via dergelijke ddos-aanvallen afgeperst, zo laat securitybedrijf Cybereason aan it-journalist Brian Krebs weten. De aanvallers versturen in het aanvalsverkeer de boodschap met instructies voor de aangevallen website mee. Daarin staat dat er bijna 15.000 euro in Monero moet worden betaald om de aanval te laten stoppen.

Om misbruik van memcached-servers te voorkomen heeft Red Hat nu beveiligingsadvies online geplaatst. Daarin wordt geadviseerd om UDP voor memcached uit te schakelen als dit niet is vereist en op TCP-verbindingen over te stappen. Wanneer UDP wel verplicht is wordt aangeraden een firewall in te stellen en alleen verbindingen van betrouwbare hosts te accepteren. Verder moet de memcached-server alleen van het lokale netwerk toegankelijk zijn en moet extern verkeer naar door memcached gebruikte poorten niet worden toegestaan.

Reacties (4)
05-03-2018, 11:31 door Anoniem
De wereldkaart in Kreb's artikel laat een forse concentratie van open memcached-servers in Nederland zien.
05-03-2018, 14:27 door Anoniem
Er is een website memcached.org die er uit ziet als een projectpage van dit project, maar waar helemaal
niets vermeld staat over het probleem. Ik vind dat maar vreemd. Of is dit een fake site met het doel meer
mensen dit te laten installeren zonder beveiliging?
05-03-2018, 18:50 door Tha Cleaner
Door Anoniem: Er is een website memcached.org die er uit ziet als een projectpage van dit project, maar waar helemaal
niets vermeld staat over het probleem. Ik vind dat maar vreemd. Of is dit een fake site met het doel meer
mensen dit te laten installeren zonder beveiliging?

Release notes van de laatste versie al eens bekeken?
05-03-2018, 22:02 door Anoniem
Door Tha Cleaner:
Release notes van de laatste versie al eens bekeken?
Nee, ik gebruik dat pakket niet en ik verwacht een rood omrand bericht direct op de startpagina wat de aandacht vestigt
op de ontstane situatie en een verwijzing naar tips en eventuele patches.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.