image

NCSC waarschuwt voor ddos-aanvallen via memcached-systemen

donderdag 1 maart 2018, 09:23 door Redactie, 6 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt voor ddos-aanvallen waarbij gebruik gemaakt wordt van publiek beschikbare memcached-systemen. Volgens het NCSC zijn memcached-systemen bij ddos-aanvallen in zowel Nederland als daarbuiten misbruikt. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het systeem bevat geen authenticatie en is niet ontwikkeld om publiek beschikbaar te zijn, aldus het NCSC.

Eerder deze week waarschuwden Cloudflare en Arbor Networks al voor publiek beschikbare memcached-system die bij ddos-aanvallen zijn misbruikt. Wereldwijd zouden 88.000 van dergelijke systemen online te vinden zijn, waarvan ongeveer drieduizend in Nederland, zo laat het NCSC weten. Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd.

Het NCSC adviseert netwerkbeheerders om te verifiëren of er publieke memcached- of andere systemen in het netwerk aanwezig zijn die mogelijk kwetsbaar zijn voor misbruik in amplificatie-aanvallen en maatregelen te nemen om misbruik van deze systemen te voorkomen. Het gaat in de recente aanvallen om memcached-systemen die beschikbaar zijn op poort 11211. Het advies is om deze systemen van het internet af te schermen.

Reacties (6)
01-03-2018, 09:36 door Anoniem
Pfff, gaat hier toch om memcached system die nog voor een firewall staan (of alles open naar de memcached server) en alleen bij gebruik van UDP.

Ik verwacht van security.nl redactie iets meer inhoud en advies dan een copy & paste van een AFP bericht...
01-03-2018, 09:45 door Anoniem
Ik heb even op Shodan.io gekeken voor mijn werkgever maar niks aan de hand. Ik heb ook even Nederland breed gekeken. Ik heb hier weggelaten welke organisaties in de top 5 staan ;)

country:nl product:"memcached" port:"11211"

Netherlands
2,902

Top Cities
Amsterdam 870
Tilburg 57
Hoek Van Holland 52
Haarlem 29
Dronten 22
01-03-2018, 12:07 door Anoniem
Door Anoniem: Ik heb even op Shodan.io gekeken voor mijn werkgever maar niks aan de hand. Ik heb ook even Nederland breed gekeken. Ik heb hier weggelaten welke organisaties in de top 5 staan ;)
Wel jammer dat shodan geen compleet inzicht geeft. Heb regelmatig gezien dat servers die kwetsbare services hebben toch niet in shodan staan. Zelfs als een zoekopdracht wel goed is.

Hoeveel memcached services zijn er nodig om een stevige ddos amplification attack te maken?
01-03-2018, 13:21 door Anoniem
Door Anoniem: Pfff, gaat hier toch om memcached system die nog voor een firewall staan (of alles open naar de memcached server) en alleen bij gebruik van UDP.

Ik verwacht van security.nl redactie iets meer inhoud en advies dan een copy & paste van een AFP bericht...
En ik weet uit ervaring dat er juist geen copy-paste wordt toegepast op de redactie. Ze lezen wel degelijk het bericht.
02-03-2018, 21:35 door Anoniem
Door Anoniem:
Wel jammer dat shodan geen compleet inzicht geeft. Heb regelmatig gezien dat servers die kwetsbare services hebben toch niet in shodan staan. Zelfs als een zoekopdracht wel goed is.
Uiteraard. Heel veel beheerders hebben shodan.io enzo in een blocklist staan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.