พบ “Kill Switch” สำหรับรับมือกับ Memcached DDoS พิสูจน์แล้วใช้ได้ผลจริง!!

นักวิจัยด้านความมั่นคงปลอดภัยจาก Corero Network Security ค้นพบเทคนิคใหม่สำหรับช่วยให้บริษัทต่างๆ สามารถปกป้องเว็บไซต์ของตนจากการโจมตีแบบ Amplification DDoS ที่ใช้ Memcached Server ปั๊มทราฟฟิกได้ พิสูจน์แล้วว่าใช้ได้ผลจริง

การโจมตีแบบ Memcached DDoS กลายเป็นประเด็นร้อนในช่วงสัปดาห์ที่ผ่านมานี้ หลังพบว่าสามารถปั๊มทราฟฟิกให้มีขนาดใหญ่ขึ้นได้ถึง 51,000 เท่า และมีเหยื่อรายใหญ่ปรากฏให้เห็นแล้ว คือ GitHub ที่รับมือกับทราฟฟิกระดับ 1.5 Tbps ไม่ไหวจนต้องย้ายระบบไปอยู่ภายใต้การดูแลของ Akamai ผู้ให้บริการ DDoS Mitigation ชื่อดัง ที่แย่กว่านั้นคือ เมื่อวานนี้มีคนปล่อยโค้ด PoC สำหรับใช้ Memcached Server ในการโจมตีแบบ DDoS ออกมา ส่งผลให้ตอนนี้ต่อให้เป็นแฮ็กเกอร์มือใหม่ก็สามารถดำเนินการโจมตีดังกล่าวได้

ถึงแม้ว่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจะแจ้งเตือนไปยังผู้ให้บริการ Memcached Server ให้ทำการ Hardening แต่พบว่ายังมีเซิร์ฟเวอร์อีกกว่า 12,000 เครื่องที่ยังเปิดพอร์ต UDP จากอินเทอร์เน็ต ซึ่งเสี่ยงถูกใช้เป็นเครื่องมือปั๊มทราฟฟิก DDoS ได้ อย่างไรก็ตาม Corero กลับพบ Kill Switch สำหรับยับยั้งการโจมตีแบบ Memcached DDoS แล้ว

นักวิจัยจาก Corero ระบุว่า ผู้ที่ตกเป็นเหยื่อของการโจมตีแบบ DDoS สามารถส่งคำสั่งง่ายๆ กลับไปยัง Memcached Server เพื่อป้องกันการปั๊มทราฟฟิกได้ เช่น “shutdown\r\n” หรือ “flush_all\r\n” โดยคำสั่ง flush_all จะเป็นการล้างข้อมูลทั้งหมด (ทั้ง Key และค่าที่เก็บไว้) ที่เก็บอยู่ใน Cache โดยไม่ต้องรีสตาร์ท Memcached Server แต่อย่างใด

ทางนักวิจัยได้ทำการทดสอบกับการโจมตีจริงเรียบร้อย พบว่าวิธีนี้สามารถทำงานได้ผลจริง และขณะนี้ได้แจ้งเรื่องไปยังหน่วยงานความมั่นคงที่เกี่ยวข้องเพื่อทำการพิสูจน์และกระจายข่าวต่อไป

นอกจากนี้ นักวิจัยจาก Corero ยังระบุเพิ่มเติมอีกว่า ช่องโหว่ Memcached รหัส CVE-2018-1000115 อาจร้ายแรงกว่าที่หลายๆ คนคาด เนื่องจากสามารถใช้เพื่อขโมยหรือแก้ไขข้อมูลที่เก็บอยู่ใน Memcahced Server ผ่านทางการใช้คำสั่ง Debug บางอย่างจากระยะไกลได้ แต่ทางนักวิจัยยังไม่เปิดเผยรายละเอียดทางเทคนิค

แนะนำให้ผู้ดูแลระบบ Memcached Server อัปเดตเป็นเวอร์ชัน 1.5.6 หรือปิดการให้บริการผ่านพอร์ต UDP เพื่อป้องกันการถูกใช้เป็นเครื่องมือสำหรับปั๊มทราฟฟิก DDoS

รายละเอียดเพิ่มเติม: https://www.corero.com/company/newsroom/press-releases/corero-network-security-discovers-memcached-ddos-attack-kill-switch-and-also-reveals-memcached-exploit-can-be-used-to-steal-or-corrupt-data/

ที่มา: https://thehackernews.com/2018/03/prevent-memcached-ddos.html