Naar aanleiding van de ddos-aanvallen die via publiek beschikbare memcached-servers worden uitgevoerd heeft Red Hat advies gepubliceerd om dergelijke systemen te beveiligen. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist.
Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd.
Vorige week werd GitHub doelwit van de grootste ddos-aanval ooit, die via memcached-servers was uitgevoerd. De aanval had een omvang van 1,3 Tbps. Inmiddels worden verschillende websites via dergelijke ddos-aanvallen afgeperst, zo laat securitybedrijf Cybereason aan it-journalist Brian Krebs weten. De aanvallers versturen in het aanvalsverkeer de boodschap met instructies voor de aangevallen website mee. Daarin staat dat er bijna 15.000 euro in Monero moet worden betaald om de aanval te laten stoppen.
Om misbruik van memcached-servers te voorkomen heeft Red Hat nu beveiligingsadvies online geplaatst. Daarin wordt geadviseerd om UDP voor memcached uit te schakelen als dit niet is vereist en op TCP-verbindingen over te stappen. Wanneer UDP wel verplicht is wordt aangeraden een firewall in te stellen en alleen verbindingen van betrouwbare hosts te accepteren. Verder moet de memcached-server alleen van het lokale netwerk toegankelijk zijn en moet extern verkeer naar door memcached gebruikte poorten niet worden toegestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.