SUSE by Ingram

โค้ดโจมตี Memcached DDoS พร้อมรายชื่อเซิร์ฟเวอร์ที่มีช่องโหว่ถูกปล่อยสู่สาธารณะ

หลังเกิดเหตุ GitHub และบริษัทในสหรัฐฯ อีกแห่งถูกโจมตีแบบ DDoS ผ่านทางการปั๊มทราฟฟิกจาก Memcached Server จนเกิดการโจมตีที่มีขนาดที่ใหญ่ที่สุดในประวัติศาสตร์ คือ 1.35 Tbps และ 1.7 Tbps ล่าสุดเหตุการณ์ยังคงเลวร้ายยิ่งขึ้นเมื่อมีผู้ปล่อยโค้ดสำหรับ PoC การโจมตีดังกล่าวออกสู่สาธารณะ ช่วยให้แฮ็กเกอร์มือใหม่สามารถเริ่มการโจมตีได้ทันที

Credit: GitHub.com

โค้ดโจมตีแบบ Memcached DDoS ที่ถูกปล่อยออกมานั้นแบ่งเป็น 2 ชุด คือ โค้ดที่ถูกพัฒนาโดยภาษา C โดยจะทำการปั๊มทราฟฟิกจาก Memcached Server ที่มีช่องโหว่รวมแล้วเกือบ 17,000 เครื่องที่ได้ระบุไว้ในโค้ดตั้งแต่ทีแรก ส่วนอีกชุดถูกพัฒนาโดยใช้ภาษา Python ซึ่งใช้ API จาก Shodan ในการสแกนหา Memcahced Server ที่มีช่องโหว่ล่าสุดทั้งหมด แล้วส่ง Request ที่ปลอม IP แล้วไปปั๊มทราฟฟิกก่อนส่งต่อไปยังเป้าหมาย

Memcached เป็นระบบ Distributed Caching แบบ Open-source ยอดนิยมที่เริ่มถูกนำมาใช้โจมตีแบบ Amplification/Reflection DDoS โดยแฮ็กเกอร์จะทำการปลอม IP ของ Request เป็น IP ของเหยื่อ แล้วส่งไปยัง Memcached Server ที่เปิดพอร์ต UDP 11211 ซึ่งส่ง Response ที่มีขนาดใหญ่กว่าเดิมหลายเท่าตัวตอบกลับไปยังเป้าหมายที่ต้องการโจมตีแทน จากการตรวจสอบพบว่า Memcached Server สามารถปั๊มทราฟฟิกให้มีขนาดใหญ่กว่าเดิมได้ถึง 51,000 เท่า

อย่างไรก็ตาม ล่าสุดนักวิจัยด้านความมั่นคงปลอดภัยจาก Corero Network Security ค้นพบ Kill Switch สำหรับยับยั้งไม่ให้ Memcahced Server ถูกใช้เพื่อปั๊มทราฟฟิก DDoS เรียบร้อย

ที่มา: https://thehackernews.com/2018/03/memcached-ddos-exploit-code.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ‘ไอบีเอ็ม ซิเคียวริตี้’ ชี้ การโจมตีเพิ่มขึ้นเท่าตัวในอุตสาหกรรมที่เกี่ยวข้องกับการรับมือโควิด-19 พบหลายล้านเคสแรนซัมแวร์, คาดมัลแวร์โอเพนซอร์ส เพิ่มขึ้นประมาณ 40%, แบรนด์ ‘เครื่องมือจำเป็น’ สำหรับ social distancing กลายเป็นเป้าโจมตีสูงสุด

ไอบีเอ็ม (NYSE: IBM) ซิเคียวริตี้ เปิดเผยรายงาน 2021 X-Force Threat Intelligence Index ที่ชี้ให้เห็นวิวัฒนาการของการโจมตีไซเบอร์ในปีที่ผ่านมา ที่มุ่งเป้าประเด็นท้าทายด้านภาวะทางเศรษฐกิจและสังคม ธุรกิจ และการเมือง อันเป็นผลมาจากการแพร่ระบาดของโควิด-19 พบแฮคเกอร์มุ่งโจมตีธุรกิจที่เกี่ยวกับการรับมือโควิด-19 เช่น …

Cisco อุดช่องโหว่ Bypass ใน ACI MSO

Cisco ได้ประกาศอุดช่องโหว่ 3 รายการให้แก่ผลิตภัณฑ์ ACI Multi-site Orchestrator และ Application Services Engine