8 de marzo de 2018

CIBERSEGURIDAD. Descubren nueva técnica para mitigar ataques DDoS

Investigadores de la firma de seguridad Corero Network Security han dado a conocer una nueva técnica que nos va a permitir mitigar este tipo de ataques DDoS enviando un simple comando a los servidores Memcached que están realizando el ataque, deteniendo dicho ataque.
 Los expertos de seguridad aseguran que los servidores Memcached que llevan a cabo los ataques DDoS pueden procesar ciertos comandos de forma remota, como “shutdown\r\n” para apagar por completo el servidor o, si no queremos causar daños al administrador responsable de dicho sistema, enviar un “flush_all\r\n” para eliminar todos los datos en la caché del servidor de manera que detenga la actividad, y deje de amplificar el ataque, sin dejar de funcionar.
La firma de seguridad asegura que estos comandos son 100% efectivos en servidores Memcached vulnerables que están llevando a cabo un ataque en tiempo real, y que además no suponen ningún peligro para el correcto funcionamiento de los equipos (salvo que le ejecutemos el comando “shutdown”).
Actualmente se están llevando creando scripts para automatizar esta actividad de manera que en cuanto se empiecen a llevar a cabo ataques DDoS utilizando estos servidores se puedan mitigar sin que estos ataques causen daños masivos como le ha ocurrido a GitHub.
Esta vulnerabilidad puede ser utilizada para mucho más que un ataque DDoS
Por si realizar los ataques DDoS más grandes de la historia no fuera suficiente, la firma de seguridad que ha dado con esta vulnerabilidad asegura, sin dar datos técnicos, que puede ser utilizada para mucho más que un simple DDoS. Con unas sencillas modificaciones en el exploit es posible aprovecharse de esta vulnerabilidad para robar o modificar datos almacenados dentro del servidor, datos que pueden ser confidenciales, según para lo que se usen este tipo de servidores.
La última versión de Memcached 1.5.6 soluciona esta vulnerabilidad (aunque a la fuerza, deshabilitando el protocolo UDP por defecto), impidiendo que se puedan llevar ataques DDoS y protegiendo los datos de los servidores. Sin embargo, los administradores responsables de este tipo de servidores no tienen muchas intenciones de actualizar, y prefieren dejar los equipos vulnerables antes que dedicar unos minutos en instalar la nueva versión.
Igual si se empezara a utilizar el comando “shutdown” para mitigar los ataques, en lugar del “flush”, la cosa cambiaría.
Fuente: thehackernews