image

Bedrijf claimt 'kill-switch' voor ddos-aanvallen via memcached

donderdag 8 maart 2018, 10:24 door Redactie, 11 reacties

Een Amerikaans securitybedrijf claimt dat het een 'kill-switch' heeft gevonden om ddos-aanvallen via publiek toegankelijke memcached-servers te stoppen. Daarnaast waarschuwen onderzoekers van Corero dat het ook mogelijk is om data van kwetsbare memcached-servers te stelen of manipuleren.

Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist. Oorspronkelijk was het niet ontworpen om via het internet toegankelijk te zijn. Wereldwijd zijn er echter nog zo'n 95.000 memcached-servers publiek toegankelijk.

Een aanvaller kan door ip-spoofing naar deze servers een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van de memcached-server veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Dit heeft inmiddels geleid tot ddos-aanvallen met een recordomvang van 1,7 Tbps

Corero zegt dat er een oplossing voorhanden is. Er is namelijk een 'kill-switch' waarbij er een commando naar de aanvallende memcached-server wordt gestuurd om het huidige ddos-misbruik te stoppen. De "flush_all" tegenmaatregel zorgt ervoor dat de cache van de kwetsbare servers komt te vervallen, waaronder ook de grote, kwaadaardige antwoorden van de aanvallers. Volgens de onderzoekers is de maatregel 100 procent effectief en heeft die geen gevolgen voor de kwetsbare memcached-server. De informatie is inmiddels met "nationale veiligheidsdiensten" gedeeld, aldus Corero.

Verder ontdekten onderzoekers van het bedrijf dat het mogelijk is om informatie te stelen die memcached-servers van het lokale netwerk of host hebben opgeslagen. Het kan dan gaan om vertrouwelijke databasegegevens, klantdata of andere informatie. Ook is het mogelijk om de informatie aan te passen. "Door een eenvoudig debug-commando te gebruiken kunnen hackers de 'sleutels' van je data achterhalen. Daarnaast is het mogelijk om de data aan te passen en terug in het cache-geheugen te plaatsen, zonder dat de memcached-eigenaar dit weet", zo stelt het securitybedrijf. De Nederlandse beveiligingsonderzoeker Victor Gevers meldt op Twitter dat het aantal open memcached-servers gestaag aan het afnemen is.

Reacties (11)
08-03-2018, 10:35 door Anoniem
Je pleegt dus gewoon computervredebreuk als je hun kill-switch gebruikt. Er staan namelijk ook gewone gegevens op de server en met die "flush all" gooi je dat ook weg.

Peter
08-03-2018, 10:36 door Anoniem
Verder ontdekten onderzoekers van het bedrijf dat het mogelijk is om informatie te stelen die memcached-servers van het lokale netwerk of host hebben opgeslagen. Het kan dan gaan om vertrouwelijke databasegegevens, klantdata of andere informatie. Ook is het mogelijk om de informatie aan te passen. "Door een eenvoudig debug-commando te gebruiken kunnen hackers de 'sleutels' van je data achterhalen. Daarnaast is het mogelijk om de data aan te passen en terug in het cache-geheugen te plaatsen, zonder dat de memcached-eigenaar dit weet", zo stelt het securitybedrijf. De Nederlandse beveiligingsonderzoeker Victor Gevers meldt op Twitter dat het aantal open memcached-servers gestaag aan het afnemen is.

Dit is wat me meer zorgen maakt. Ik slaag er bijvoorbeeld instellingen en sessie data in op.
08-03-2018, 11:43 door Anoniem
Door Anoniem: Je pleegt dus gewoon computervredebreuk als je hun kill-switch gebruikt. Er staan namelijk ook gewone gegevens op de server en met die "flush all" gooi je dat ook weg.

Peter

Als je je cache als opslag gebruikt ben je fout bezig en verdien je het om die zaken kwijt te geraken.
08-03-2018, 12:52 door Anoniem
Door Anoniem: Je pleegt dus gewoon computervredebreuk als je hun kill-switch gebruikt. Er staan namelijk ook gewone gegevens op de server en met die "flush all" gooi je dat ook weg.

Peter

Ook volgens de letter van de wet ?
Dat vereiste meen ik het doorbreken van een beveiliging (hoe triviaal ook), valse signalen of aannemen van valse identiteit .

Ik denk dat de advocaat nog best een zaak kan maken dat als het een open interface zonder authenticatie betreft, en zonder dat er gespoofed werd het dus geen computervredebreuk is.
08-03-2018, 12:54 door buttonius
Door Anoniem 10:35: Je pleegt dus gewoon computervredebreuk als je hun kill-switch gebruikt. Er staan namelijk ook gewone gegevens op de server en met die "flush all" gooi je dat ook weg.

Peter

Deze kill switch gooit alleen de cache leeg. Dat betekent dat de legitieme gebruikers van de memcached service moeten uitwijken naar de achterliggende database waar alle data gewoon blijft staan. Dat maakt de snelheid van de legitieme gebruikers tijdelijk een stuk minder, maar geleidelijk zal de cache weer gevuld raken (en dan zal de amplificatiefactor van de aanval ook weer toenemen). De gevolgen zijn dus tijdelijk (tot het volgende flush_all commando).

Klunzen die hun memcached service voor de hele wereld openzetten roepen het gebruik van deze kill switch wel over zich af.
08-03-2018, 17:07 door Anoniem
het mooie is dat die kill switch de memcache cleared (imminent DDOS countered), sites waarschijnlijk trager gaan worden, eigenaren dan die memcache instellingen waarschijnlijk eerder aan gaan passen. doen! als jij de voordeur steeds open hebt en je genereerd continue overlast via die deur (geluid oid), moet je niet raar kijk dan iemand na een tijdje af en toe eens op je deurmat pist :).
08-03-2018, 17:31 door Anoniem
Als simpele tegenoplossing voor deze kill switch: laat het botnet regelmatig even een nieuwe entry in memcache schrijven en we gaan weer verder!
08-03-2018, 18:48 door Anoniem
Door Anoniem:
Door Anoniem: Je pleegt dus gewoon computervredebreuk als je hun kill-switch gebruikt. Er staan namelijk ook gewone gegevens op de server en met die "flush all" gooi je dat ook weg.

Peter

Ook volgens de letter van de wet ?
Dat vereiste meen ik het doorbreken van een beveiliging (hoe triviaal ook), valse signalen of aannemen van valse identiteit .

Ik denk dat de advocaat nog best een zaak kan maken dat als het een open interface zonder authenticatie betreft, en zonder dat er gespoofed werd het dus geen computervredebreuk is.

Bij de nieuwe wet Computercriminaliteit 3, die nog bij de senaat ligt, is die vereiste weggehaald. Ook is het niet toegestaan geautomatiseerde apparaten te storen in hun process volgens de telecommunicatie wet. Dit zou daar onder kunnen vallen en dus is het strafbaar.
08-03-2018, 23:47 door Anoniem
Of het bedrijf snapt niet wat een killswitch is of gebruikt het als een buzzword om aandacht te krijgen.

Een killswitch legt een ongewenst proces in een keer stil en zorgt daarmee dat het niet meer terug komt. Daar is bij deze oplossing geen sprake van.

Deze zogenaamde killswitch geeft alleen een opdracht aan de memcached services om hun cache leeg te maken. Maar het zorgt er niet voor dat de memcached service niet meer gebruikt kan worden. De service is nog steeds voor iedereen beschikbaar en kan dus ook weer gevuld worden en aanvallen uit te laten voeren. Vorige weken werd er al gewaarschuwd dat de memcached services ook op die manier gebruikt werden. De criminelen vulden de cache, soms met een ransomware bericht voor het slachtoffer, en gebruiken de service dan om die data op de slachtoffers te sturen voor een denial of service.

Zolang een memcached service voor iedereen beschikbaar is kan ook iedereen die weer vullen en dan heeft deze zogenaamde killswitch hooguit een tijdelijk of helemaal geen effect. Terwijl je onder de wet waarschijnlijk ook nog in overtreding bent als je ongevraagd een memcached service van een ander opdrachten laat uitvoeren om gegevens te vernietigen.
08-03-2018, 23:51 door Anoniem
Door Anoniem:Als je je cache als opslag gebruikt ben je fout bezig en verdien je het om die zaken kwijt te geraken.
En in welke wet staat dat je voor eigen rechter mag spelen en je eigen wetten en regels mag bedenken om er zelf beter van te worden en een ander als gevolg te benadelen?
09-03-2018, 13:14 door eMilt
Door Anoniem: Als simpele tegenoplossing voor deze kill switch: laat het botnet regelmatig even een nieuwe entry in memcache schrijven en we gaan weer verder!
Tuurlijk, maar de effectiviteit en kracht van de aanval zal daar wel aanzienlijk mee afnemen. En zoals Anoniem @ 18:48 al aangeeft zal hopelijk de eigenaar van die Memcached server zich gaan afvragen waarom zijn site langzamer is en dan misschien maatregelen gaan nemen.

PS: Waarom zo veel anonieme postings hier? Accountje aanmaken is toch niet zo moeilijk? Of allemaal bezorgd over de security en privacy daarvan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.