انتشار برخط دو کد بهره‌برداری منع سرویس توزیع‌شده‌
کد مطلب: 13851
تاریخ انتشار : دوشنبه ۲۱ اسفند ۱۳۹۶ ساعت ۱۳:۰۰
 
کد بهره‌برداری منع سرویس توزیع‌شده‌ Memcached و فهرستی از ۱۷ هزار کارگزار آسیب‌پذیر منتشر شدند.
انتشار برخط دو کد بهره‌برداری منع سرویس توزیع‌شده‌
 
 
Share/Save/Bookmark
کد بهره‌برداری منع سرویس توزیع‌شده‌ Memcached و فهرستی از ۱۷ هزار کارگزار آسیب‌پذیر منتشر شدند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دو کد بهره‌برداری اثبات مفهومی جداگانه برای حمله‌ Memcached amplification به‌صورت برخط منتشر شده‌است که به اسکریپت‌ها این امکان را می‌دهد که با استفاده از بازتاب‌های UDP به‌راحتی حملات منع سرویس توزیع‌شده‌ گسترده انجام دهند.

ابزار اول منع سرویس توزیع‌شده در زبان برنامه‌نویسی C نوشته شده‌است و با فهرستی از کارگزارهای آسیب‌پذیر Memcached کار می‌کند. در حال حاضر توضیحات آن شامل فهرستی از ۱۷ هزار کارگزار آسیب‌پذیر Memcached است که در اینترنت در معرض خطر قرار گرفته‌اند.

در حالی که ابزار دوم منع سرویس توزیع‌شده‌ی Memcached در پایتون نوشته شده‌است که از رابط برنامه‌نویسی موتور جست‌وجوی Shodan استفاده می‌کند تا لیست جدیدی از کارگزارهای آسیب‌پذیر Memcached را به‌دست آورد و سپس بسته‌های UDP با منبع جعلی را به هر کارگزاری ارسال کند.

هفته‌ گذشته ما شاهد دو حمله‌ منع سرویس توزیع‌شده‌ بی‌سابقه بودیم، یکی حمله‌ ۱.۳۵ Tbps که گیت‌هاب را هدف قرار داد و دیگری حمله‌ ۱.۷ Tbps علیه یک شرکت ناشناس در آمریکا که با استفاده از روشی به نام حمله‌ amplification/reflection انجام شده‌بودند.

حمله‌ amplification/reflection مبتنی‌بر Memcached با بهره‌برداری از هزاران کارگزار Memcached با پیکربندی اشتباه، پهنای باند حملات منع سرویس توزیع‌شده را تقویت می‌کند.

در واقع Memcached یک سامانه‌ حافظه‌ ذخیره‌سازی توزیع‌شده‌ متن‌باز محبوب است که هفته‌ گذشته زمانی که پژوهشگران نحوه‌ سوء‌استفاده از آن برای راه‌اندازی حمله‌ منع سرویس توزیع‌شده‌ amplification/reflection با ارسال یک درخواست جعلی به کارگزار Memcached مورد هدف در درگاه ۱۱۲۱۱ با استفاده از یک آی‌پی جعلی مطابق با آی‌پی قربانی را تشریح کردند، خبرساز شد.

به دنبال یک حمله‌ منع سرویس توزیع‌شده‌ قدرتمند چند بایت از درخواست ارسال شده به کارگزار آسیب‌پذیر Memcached می‌تواند پاسخی ده‌ها هزار بار بزرگ‌تر به آدرس آی‌پی مورد هدف ارسال کند.

از هفته‌ گذشته، زمانی که Memcached به عنوان یک بردار حمله‌ی amplification/reflection جدید شناخته شد، برخی از گروه‌های نفوذ بهره‌برداری از کارگزارهای Memcached ناامن را آغاز کردند.

اما در حال حاضر با انتشار کد بهره‌برداری اثبات مفهومی شرایط بدتر می‌شود، و برای هر کسی این امکان فراهم می‌شود که حملات منع سرویس توزیع‌شده‌ گسترده‌ای راه‌اندازی کند، و تا زمانی که آخرین کارگزار آسیب‌پذیر Memcached وصله نشده یا به‌صورت کامل برون‌خط نشده، تحت کنترل نخواهدبود.

علاوه‌بر این، گروه‌های مجرمان سایبری در حال حاضر از این روش منع سرویس توزیع‌شده‌ جدید استفاده کرده‌اند تا وب‌سایت‌های بزرگ را برای اخاذی تهدید کنند.

در پی حمله‌ منع سرویس‌توزیع‌شده به گیت‌هاب در هفته‌ گذشته، Akamai گزارش داد که به مشتریان آن پیام‌های اخاذی دریافت کرده‌اند که همراه با بار داده‌ حمله‌ «junk-filled» ارسال شده‌است و از آنها ۵۰ XMR (سکه‌های مونرو) به ارزش بیش از ۱۵ هزار دلار درخواست می‌کند. حملات amplification/reflection جدید نیستند.

مهاجمان قبلاً از این روش حمله‌ منع سرویس توزیع‌شده برای بهره‌برداری از آسیب‌پذیری‌های موجود در DNS ،NTP ،SNMP ،SSDP ،Chargen و سایر پروتکل‌ها استفاده کرده‌اند تا مقیاس حملات سایبری خود را به حداکثر برسانند.

برای مقابله با این حمله و جلوگیری از سوءاستفاده از کارگزارهای Memcached، بهترین گزینه، اتصال Memcached به یک رابط محلی با غیرفعال کردن کامل پشتیبانی UDP است.
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات