Breaking News

โค้ดโจมตี Memcached DDoS พร้อมรายชื่อเซิร์ฟเวอร์ที่มีช่องโหว่ถูกปล่อยสู่สาธารณะ

หลังเกิดเหตุ GitHub และบริษัทในสหรัฐฯ อีกแห่งถูกโจมตีแบบ DDoS ผ่านทางการปั๊มทราฟฟิกจาก Memcached Server จนเกิดการโจมตีที่มีขนาดที่ใหญ่ที่สุดในประวัติศาสตร์ คือ 1.35 Tbps และ 1.7 Tbps ล่าสุดเหตุการณ์ยังคงเลวร้ายยิ่งขึ้นเมื่อมีผู้ปล่อยโค้ดสำหรับ PoC การโจมตีดังกล่าวออกสู่สาธารณะ ช่วยให้แฮ็กเกอร์มือใหม่สามารถเริ่มการโจมตีได้ทันที

Credit: GitHub.com

โค้ดโจมตีแบบ Memcached DDoS ที่ถูกปล่อยออกมานั้นแบ่งเป็น 2 ชุด คือ โค้ดที่ถูกพัฒนาโดยภาษา C โดยจะทำการปั๊มทราฟฟิกจาก Memcached Server ที่มีช่องโหว่รวมแล้วเกือบ 17,000 เครื่องที่ได้ระบุไว้ในโค้ดตั้งแต่ทีแรก ส่วนอีกชุดถูกพัฒนาโดยใช้ภาษา Python ซึ่งใช้ API จาก Shodan ในการสแกนหา Memcahced Server ที่มีช่องโหว่ล่าสุดทั้งหมด แล้วส่ง Request ที่ปลอม IP แล้วไปปั๊มทราฟฟิกก่อนส่งต่อไปยังเป้าหมาย

Memcached เป็นระบบ Distributed Caching แบบ Open-source ยอดนิยมที่เริ่มถูกนำมาใช้โจมตีแบบ Amplification/Reflection DDoS โดยแฮ็กเกอร์จะทำการปลอม IP ของ Request เป็น IP ของเหยื่อ แล้วส่งไปยัง Memcached Server ที่เปิดพอร์ต UDP 11211 ซึ่งส่ง Response ที่มีขนาดใหญ่กว่าเดิมหลายเท่าตัวตอบกลับไปยังเป้าหมายที่ต้องการโจมตีแทน จากการตรวจสอบพบว่า Memcached Server สามารถปั๊มทราฟฟิกให้มีขนาดใหญ่กว่าเดิมได้ถึง 51,000 เท่า

อย่างไรก็ตาม ล่าสุดนักวิจัยด้านความมั่นคงปลอดภัยจาก Corero Network Security ค้นพบ Kill Switch สำหรับยับยั้งไม่ให้ Memcahced Server ถูกใช้เพื่อปั๊มทราฟฟิก DDoS เรียบร้อย

ที่มา: https://thehackernews.com/2018/03/memcached-ddos-exploit-code.html




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เชิญร่วมงานสัมมนา CDIC 2018 ลงทะเบียนวันนี้รับส่วนลดทันที 10%

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2018” …

สนามบิน Bristol ถูก Ransomware โจมตี ทำจอแสดงข้อมูลการบินดับ

สนามบิน Bristol สหราชอาณาจักร ออกมาเปิดเผยถึงเหตุการณ์หน้าจอแสดงข้อมูลเที่ยวบินดับเมื่อช่วงสุดสัปดาห์ที่ผ่านมา ระบุว่ามีสาเหตุมาจากการถูก Ransomware โจมตี