โค้ดโจมตี Memcached DDoS พร้อมรายชื่อเซิร์ฟเวอร์ที่มีช่องโหว่ถูกปล่อยสู่สาธารณะ

หลังเกิดเหตุ GitHub และบริษัทในสหรัฐฯ อีกแห่งถูกโจมตีแบบ DDoS ผ่านทางการปั๊มทราฟฟิกจาก Memcached Server จนเกิดการโจมตีที่มีขนาดที่ใหญ่ที่สุดในประวัติศาสตร์ คือ 1.35 Tbps และ 1.7 Tbps ล่าสุดเหตุการณ์ยังคงเลวร้ายยิ่งขึ้นเมื่อมีผู้ปล่อยโค้ดสำหรับ PoC การโจมตีดังกล่าวออกสู่สาธารณะ ช่วยให้แฮ็กเกอร์มือใหม่สามารถเริ่มการโจมตีได้ทันที

โค้ดโจมตีแบบ Memcached DDoS ที่ถูกปล่อยออกมานั้นแบ่งเป็น 2 ชุด คือ โค้ดที่ถูกพัฒนาโดยภาษา C โดยจะทำการปั๊มทราฟฟิกจาก Memcached Server ที่มีช่องโหว่รวมแล้วเกือบ 17,000 เครื่องที่ได้ระบุไว้ในโค้ดตั้งแต่ทีแรก ส่วนอีกชุดถูกพัฒนาโดยใช้ภาษา Python ซึ่งใช้ API จาก Shodan ในการสแกนหา Memcahced Server ที่มีช่องโหว่ล่าสุดทั้งหมด แล้วส่ง Request ที่ปลอม IP แล้วไปปั๊มทราฟฟิกก่อนส่งต่อไปยังเป้าหมาย

Memcached เป็นระบบ Distributed Caching แบบ Open-source ยอดนิยมที่เริ่มถูกนำมาใช้โจมตีแบบ Amplification/Reflection DDoS โดยแฮ็กเกอร์จะทำการปลอม IP ของ Request เป็น IP ของเหยื่อ แล้วส่งไปยัง Memcached Server ที่เปิดพอร์ต UDP 11211 ซึ่งส่ง Response ที่มีขนาดใหญ่กว่าเดิมหลายเท่าตัวตอบกลับไปยังเป้าหมายที่ต้องการโจมตีแทน จากการตรวจสอบพบว่า Memcached Server สามารถปั๊มทราฟฟิกให้มีขนาดใหญ่กว่าเดิมได้ถึง 51,000 เท่า

อย่างไรก็ตาม ล่าสุดนักวิจัยด้านความมั่นคงปลอดภัยจาก Corero Network Security ค้นพบ Kill Switch สำหรับยับยั้งไม่ให้ Memcahced Server ถูกใช้เพื่อปั๊มทราฟฟิก DDoS เรียบร้อย

ที่มา: https://thehackernews.com/2018/03/memcached-ddos-exploit-code.html