Het aantal kwetsbare memcached-servers die voor ddos-aanvallen kunnen worden gebruikt is dankzij de inzet van vrijwilligers de afgelopen dagen sterk gedaald. Dat meldt onderzoeker Victor Gevers van de GDI Foundation, een Nederlandse stichting van beveiligingsexperts zonder winstoogmerk.

De GDI Foundation verstuurde ruim 4.000 e-mails naar internetproviders, organisaties en eigenaren in 150 landen waarin voor meer dan 51.000 kwetsbare memcached-servers werd gewaarschuwd. Volgens de stichting zijn er nog ruim 6.000 kwetsbare servers op internet te vinden. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Oorspronkelijk was het niet ontworpen om via het internet toegankelijk te zijn.

Een aanvaller kan door ip-spoofing naar deze servers een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Aanvallers wisten op deze manier een ddos-aanval van 1,7 Tbps te genereren.

Het is niet voor het eerst dat de GDI Foundation organisaties en providers voor kwetsbare systemen waarschuwt. Eerder deed de stichting dit al bij onbeveiligde MongoDB-databases en Hadoop-installaties, kwetsbare D-Link-routers en Arris-apparaten, alsmede systemen die kwetsbaar voor de exploits van de NSA waren.