Breaking News

พบ “Kill Switch” สำหรับรับมือกับ Memcached DDoS พิสูจน์แล้วใช้ได้ผลจริง!!

นักวิจัยด้านความมั่นคงปลอดภัยจาก Corero Network Security ค้นพบเทคนิคใหม่สำหรับช่วยให้บริษัทต่างๆ สามารถปกป้องเว็บไซต์ของตนจากการโจมตีแบบ Amplification DDoS ที่ใช้ Memcached Server ปั๊มทราฟฟิกได้ พิสูจน์แล้วว่าใช้ได้ผลจริง

Credit: ShutterStock

การโจมตีแบบ Memcached DDoS กลายเป็นประเด็นร้อนในช่วงสัปดาห์ที่ผ่านมานี้ หลังพบว่าสามารถปั๊มทราฟฟิกให้มีขนาดใหญ่ขึ้นได้ถึง 51,000 เท่า และมีเหยื่อรายใหญ่ปรากฏให้เห็นแล้ว คือ GitHub ที่รับมือกับทราฟฟิกระดับ 1.5 Tbps ไม่ไหวจนต้องย้ายระบบไปอยู่ภายใต้การดูแลของ Akamai ผู้ให้บริการ DDoS Mitigation ชื่อดัง ที่แย่กว่านั้นคือ เมื่อวานนี้มีคนปล่อยโค้ด PoC สำหรับใช้ Memcached Server ในการโจมตีแบบ DDoS ออกมา ส่งผลให้ตอนนี้ต่อให้เป็นแฮ็กเกอร์มือใหม่ก็สามารถดำเนินการโจมตีดังกล่าวได้

ถึงแม้ว่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจะแจ้งเตือนไปยังผู้ให้บริการ Memcached Server ให้ทำการ Hardening แต่พบว่ายังมีเซิร์ฟเวอร์อีกกว่า 12,000 เครื่องที่ยังเปิดพอร์ต UDP จากอินเทอร์เน็ต ซึ่งเสี่ยงถูกใช้เป็นเครื่องมือปั๊มทราฟฟิก DDoS ได้ อย่างไรก็ตาม Corero กลับพบ Kill Switch สำหรับยับยั้งการโจมตีแบบ Memcached DDoS แล้ว

นักวิจัยจาก Corero ระบุว่า ผู้ที่ตกเป็นเหยื่อของการโจมตีแบบ DDoS สามารถส่งคำสั่งง่ายๆ กลับไปยัง Memcached Server เพื่อป้องกันการปั๊มทราฟฟิกได้ เช่น “shutdown\r\n” หรือ “flush_all\r\n” โดยคำสั่ง flush_all จะเป็นการล้างข้อมูลทั้งหมด (ทั้ง Key และค่าที่เก็บไว้) ที่เก็บอยู่ใน Cache โดยไม่ต้องรีสตาร์ท Memcached Server แต่อย่างใด

ทางนักวิจัยได้ทำการทดสอบกับการโจมตีจริงเรียบร้อย พบว่าวิธีนี้สามารถทำงานได้ผลจริง และขณะนี้ได้แจ้งเรื่องไปยังหน่วยงานความมั่นคงที่เกี่ยวข้องเพื่อทำการพิสูจน์และกระจายข่าวต่อไป

นอกจากนี้ นักวิจัยจาก Corero ยังระบุเพิ่มเติมอีกว่า ช่องโหว่ Memcached รหัส CVE-2018-1000115 อาจร้ายแรงกว่าที่หลายๆ คนคาด เนื่องจากสามารถใช้เพื่อขโมยหรือแก้ไขข้อมูลที่เก็บอยู่ใน Memcahced Server ผ่านทางการใช้คำสั่ง Debug บางอย่างจากระยะไกลได้ แต่ทางนักวิจัยยังไม่เปิดเผยรายละเอียดทางเทคนิค

แนะนำให้ผู้ดูแลระบบ Memcached Server อัปเดตเป็นเวอร์ชัน 1.5.6 หรือปิดการให้บริการผ่านพอร์ต UDP เพื่อป้องกันการถูกใช้เป็นเครื่องมือสำหรับปั๊มทราฟฟิก DDoS

รายละเอียดเพิ่มเติม: https://www.corero.com/company/newsroom/press-releases/corero-network-security-discovers-memcached-ddos-attack-kill-switch-and-also-reveals-memcached-exploit-can-be-used-to-steal-or-corrupt-data/

ที่มา: https://thehackernews.com/2018/03/prevent-memcached-ddos.html




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เชิญร่วมงานสัมมนา CDIC 2018 ลงทะเบียนวันนี้รับส่วนลดทันที 10%

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2018” …

IBM Thailand เปิดตัวโซลูชัน IBM Cloud Private for Data ตอบโจทย์องค์กรทำ Digital Transformation ด้วย AI และ Big Data

ทีมงาน TechTalkThai มีโอกาสได้มาร่วมงานสัมมนา Accelerated AI and Data Science with Cloud Agility ซึ่งจัดขึ้นโดยทางทีมงาน IBM Thailand สำหรับอัปเดตเทคโนโลยีทางด้าน …