พบ “Kill Switch” สำหรับรับมือกับ Memcached DDoS พิสูจน์แล้วใช้ได้ผลจริง!!

นักวิจัยด้านความมั่นคงปลอดภัยจาก Corero Network Security ค้นพบเทคนิคใหม่สำหรับช่วยให้บริษัทต่างๆ สามารถปกป้องเว็บไซต์ของตนจากการโจมตีแบบ Amplification DDoS ที่ใช้ Memcached Server ปั๊มทราฟฟิกได้ พิสูจน์แล้วว่าใช้ได้ผลจริง

Credit: ShutterStock

การโจมตีแบบ Memcached DDoS กลายเป็นประเด็นร้อนในช่วงสัปดาห์ที่ผ่านมานี้ หลังพบว่าสามารถปั๊มทราฟฟิกให้มีขนาดใหญ่ขึ้นได้ถึง 51,000 เท่า และมีเหยื่อรายใหญ่ปรากฏให้เห็นแล้ว คือ GitHub ที่รับมือกับทราฟฟิกระดับ 1.5 Tbps ไม่ไหวจนต้องย้ายระบบไปอยู่ภายใต้การดูแลของ Akamai ผู้ให้บริการ DDoS Mitigation ชื่อดัง ที่แย่กว่านั้นคือ เมื่อวานนี้มีคนปล่อยโค้ด PoC สำหรับใช้ Memcached Server ในการโจมตีแบบ DDoS ออกมา ส่งผลให้ตอนนี้ต่อให้เป็นแฮ็กเกอร์มือใหม่ก็สามารถดำเนินการโจมตีดังกล่าวได้

ถึงแม้ว่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจะแจ้งเตือนไปยังผู้ให้บริการ Memcached Server ให้ทำการ Hardening แต่พบว่ายังมีเซิร์ฟเวอร์อีกกว่า 12,000 เครื่องที่ยังเปิดพอร์ต UDP จากอินเทอร์เน็ต ซึ่งเสี่ยงถูกใช้เป็นเครื่องมือปั๊มทราฟฟิก DDoS ได้ อย่างไรก็ตาม Corero กลับพบ Kill Switch สำหรับยับยั้งการโจมตีแบบ Memcached DDoS แล้ว

นักวิจัยจาก Corero ระบุว่า ผู้ที่ตกเป็นเหยื่อของการโจมตีแบบ DDoS สามารถส่งคำสั่งง่ายๆ กลับไปยัง Memcached Server เพื่อป้องกันการปั๊มทราฟฟิกได้ เช่น “shutdown\r\n” หรือ “flush_all\r\n” โดยคำสั่ง flush_all จะเป็นการล้างข้อมูลทั้งหมด (ทั้ง Key และค่าที่เก็บไว้) ที่เก็บอยู่ใน Cache โดยไม่ต้องรีสตาร์ท Memcached Server แต่อย่างใด

ทางนักวิจัยได้ทำการทดสอบกับการโจมตีจริงเรียบร้อย พบว่าวิธีนี้สามารถทำงานได้ผลจริง และขณะนี้ได้แจ้งเรื่องไปยังหน่วยงานความมั่นคงที่เกี่ยวข้องเพื่อทำการพิสูจน์และกระจายข่าวต่อไป

นอกจากนี้ นักวิจัยจาก Corero ยังระบุเพิ่มเติมอีกว่า ช่องโหว่ Memcached รหัส CVE-2018-1000115 อาจร้ายแรงกว่าที่หลายๆ คนคาด เนื่องจากสามารถใช้เพื่อขโมยหรือแก้ไขข้อมูลที่เก็บอยู่ใน Memcahced Server ผ่านทางการใช้คำสั่ง Debug บางอย่างจากระยะไกลได้ แต่ทางนักวิจัยยังไม่เปิดเผยรายละเอียดทางเทคนิค

แนะนำให้ผู้ดูแลระบบ Memcached Server อัปเดตเป็นเวอร์ชัน 1.5.6 หรือปิดการให้บริการผ่านพอร์ต UDP เพื่อป้องกันการถูกใช้เป็นเครื่องมือสำหรับปั๊มทราฟฟิก DDoS

รายละเอียดเพิ่มเติม: https://www.corero.com/company/newsroom/press-releases/corero-network-security-discovers-memcached-ddos-attack-kill-switch-and-also-reveals-memcached-exploit-can-be-used-to-steal-or-corrupt-data/

ที่มา: https://thehackernews.com/2018/03/prevent-memcached-ddos.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: แนวทางการปกป้องธุรกิจจาก Phishing, Ransomware และ Email Fraud

ขอเรียนเชิญเหล่า IT Manager, Security Engineer, IT Admin และผู้ที่เกี่ยวข้องกับการดูแลระบบ IT ภายในองค์กรทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง “แนวทางการปกป้องธุรกิจจาก Phishing, Ransomware และ Email Fraud" เพื่อนำแนวทางเหล่านี้ไปประยุกต์ใช้ในธุรกิจองค์กรได้ ในวันศุกร์ที่ 21 ธันวาคม 2018 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

25 Passwords ยอดแย่ประจำปี 2018 … 123456 รั้งที่ 1 อย่างเหนียวแน่น

SplashData ผู้ให้บริการซอฟต์แวร์สำหรับบริหารจัดการรหัสผ่านชื่อดัง ได้ออกมาเปิดเผยถึง 25 รหัสผ่านยอดนิยม หรืออาจเรียกว่าเป็นรหัสผ่านยอดแย่ประจำปี 2018 นี้ ซึ่งอันดับหนึ่งยังคงเป็น “123456” ตามด้วย “password” เช่นเดียวกับปี 2017 และ 2016 ที่ผ่านมา