کد بهرهبرداری منع سرویس توزیعشده Memcached و فهرستی از ۱۷ هزار کارگزار آسیبپذیر منتشر شدند.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
کد بهرهبرداری منع سرویس توزیعشده Memcached و فهرستی از ۱۷ هزار کارگزار آسیبپذیر منتشر شدند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دو کد بهرهبرداری اثبات مفهومی جداگانه برای حمله Memcached amplification بهصورت برخط منتشر شدهاست که به اسکریپتها این امکان را میدهد که با استفاده از بازتابهای UDP بهراحتی حملات منع سرویس توزیعشده گسترده انجام دهند.
ابزار اول منع سرویس توزیعشده در زبان برنامهنویسی C نوشته شدهاست و با فهرستی از کارگزارهای آسیبپذیر Memcached کار میکند. در حال حاضر توضیحات آن شامل فهرستی از ۱۷ هزار کارگزار آسیبپذیر Memcached است که در اینترنت در معرض خطر قرار گرفتهاند.
در حالی که ابزار دوم منع سرویس توزیعشدهی Memcached در پایتون نوشته شدهاست که از رابط برنامهنویسی موتور جستوجوی Shodan استفاده میکند تا لیست جدیدی از کارگزارهای آسیبپذیر Memcached را بهدست آورد و سپس بستههای UDP با منبع جعلی را به هر کارگزاری ارسال کند.
هفته گذشته ما شاهد دو حمله منع سرویس توزیعشده بیسابقه بودیم، یکی حمله ۱.۳۵ Tbps که گیتهاب را هدف قرار داد و دیگری حمله ۱.۷ Tbps علیه یک شرکت ناشناس در آمریکا که با استفاده از روشی به نام حمله amplification/reflection انجام شدهبودند.
حمله amplification/reflection مبتنیبر Memcached با بهرهبرداری از هزاران کارگزار Memcached با پیکربندی اشتباه، پهنای باند حملات منع سرویس توزیعشده را تقویت میکند.
در واقع Memcached یک سامانه حافظه ذخیرهسازی توزیعشده متنباز محبوب است که هفته گذشته زمانی که پژوهشگران نحوه سوءاستفاده از آن برای راهاندازی حمله منع سرویس توزیعشده amplification/reflection با ارسال یک درخواست جعلی به کارگزار Memcached مورد هدف در درگاه ۱۱۲۱۱ با استفاده از یک آیپی جعلی مطابق با آیپی قربانی را تشریح کردند، خبرساز شد.
به دنبال یک حمله منع سرویس توزیعشده قدرتمند چند بایت از درخواست ارسال شده به کارگزار آسیبپذیر Memcached میتواند پاسخی دهها هزار بار بزرگتر به آدرس آیپی مورد هدف ارسال کند.
از هفته گذشته، زمانی که Memcached به عنوان یک بردار حملهی amplification/reflection جدید شناخته شد، برخی از گروههای نفوذ بهرهبرداری از کارگزارهای Memcached ناامن را آغاز کردند.
اما در حال حاضر با انتشار کد بهرهبرداری اثبات مفهومی شرایط بدتر میشود، و برای هر کسی این امکان فراهم میشود که حملات منع سرویس توزیعشده گستردهای راهاندازی کند، و تا زمانی که آخرین کارگزار آسیبپذیر Memcached وصله نشده یا بهصورت کامل برونخط نشده، تحت کنترل نخواهدبود.
علاوهبر این، گروههای مجرمان سایبری در حال حاضر از این روش منع سرویس توزیعشده جدید استفاده کردهاند تا وبسایتهای بزرگ را برای اخاذی تهدید کنند.
در پی حمله منع سرویستوزیعشده به گیتهاب در هفته گذشته، Akamai گزارش داد که به مشتریان آن پیامهای اخاذی دریافت کردهاند که همراه با بار داده حمله «junk-filled» ارسال شدهاست و از آنها ۵۰ XMR (سکههای مونرو) به ارزش بیش از ۱۵ هزار دلار درخواست میکند. حملات amplification/reflection جدید نیستند.
مهاجمان قبلاً از این روش حمله منع سرویس توزیعشده برای بهرهبرداری از آسیبپذیریهای موجود در DNS ،NTP ،SNMP ،SSDP ،Chargen و سایر پروتکلها استفاده کردهاند تا مقیاس حملات سایبری خود را به حداکثر برسانند.
برای مقابله با این حمله و جلوگیری از سوءاستفاده از کارگزارهای Memcached، بهترین گزینه، اتصال Memcached به یک رابط محلی با غیرفعال کردن کامل پشتیبانی UDP است.