Investigadores de la
firma de seguridad Corero Network Security han dado a conocer una nueva técnica
que nos va a permitir mitigar este tipo de ataques DDoS enviando un simple
comando a los servidores Memcached que están realizando el ataque, deteniendo
dicho ataque.
Los expertos de seguridad aseguran que los servidores Memcached
que llevan a cabo los ataques DDoS pueden procesar ciertos comandos de forma
remota, como “shutdown\r\n” para apagar por completo el servidor o, si no
queremos causar daños al administrador responsable de dicho sistema, enviar un
“flush_all\r\n” para eliminar todos los datos en la caché del servidor de
manera que detenga la actividad, y deje de amplificar el ataque, sin dejar de
funcionar.
La firma de seguridad
asegura que estos comandos son 100% efectivos en servidores Memcached
vulnerables que están llevando a cabo un ataque en tiempo real, y que además no
suponen ningún peligro para el correcto funcionamiento de los equipos (salvo
que le ejecutemos el comando “shutdown”).
Actualmente se están
llevando creando scripts para automatizar esta actividad de manera que en
cuanto se empiecen a llevar a cabo ataques DDoS utilizando estos servidores se
puedan mitigar sin que estos ataques causen daños masivos como le ha ocurrido a
GitHub.
Esta vulnerabilidad puede ser utilizada para
mucho más que un ataque DDoS
Por si realizar los
ataques DDoS más grandes de la historia no fuera suficiente, la firma de
seguridad que ha dado con esta vulnerabilidad asegura, sin dar datos técnicos,
que puede ser utilizada para mucho más que un simple DDoS. Con unas sencillas
modificaciones en el exploit es posible aprovecharse de esta vulnerabilidad
para robar o modificar datos almacenados dentro del servidor, datos que pueden
ser confidenciales, según para lo que se usen este tipo de servidores.
La última versión de
Memcached 1.5.6 soluciona esta vulnerabilidad (aunque a la fuerza,
deshabilitando el protocolo UDP por defecto), impidiendo que se puedan llevar
ataques DDoS y protegiendo los datos de los servidores. Sin embargo, los
administradores responsables de este tipo de servidores no tienen muchas
intenciones de actualizar, y prefieren dejar los equipos vulnerables antes que
dedicar unos minutos en instalar la nueva versión.
Igual si se empezara
a utilizar el comando “shutdown” para mitigar los ataques, en lugar del
“flush”, la cosa cambiaría.
Fuente: thehackernews