Bezpečnostní odborníci ze společností Cloudflare, Arbor Networks a Qihoo 360 varují před novým trendem: útočníci zneužívají Memcached servery otevřené do internetu (UDP port 11211) k zesilujícím útokům. Útok už dostal vlastní jméno: Memcrashed.
Rozmohl se nám tady takový nešvar: memcached otevřený do celého světa zneužívaný k zesilujícím útokům. Poznávací znamení: UDP port 11211 pic.twitter.com/TPwXA9fwDy
— CESNET CERTS (@CESNET_CERTS) March 1, 2018
Memcached je svobodný nástroj pro kešování informací v paměti. Se serverovou aplikací komunikuje pomocí vlastního protokolu postaveného nad UDP. Odpověď z keše bývá mnohokrát větší než samotný dotaz, což je možné zneužít k odrazovému zesilujícímu útoku směrem k nic netušící oběti.
Stačí k tomu otevřený port směrem do internetu a útočník schopný odesílat pakety s libovolnou IP adresou. Už byly pozorovány útoky o velikosti stovek gigabitů za sekundu, které pocházely z více než pěti tisíc otevřených serverů. Databáze Shodan tvrdí, že zneužitelných serverů je více než 88 000. Podobně byly v minulosti ve velkém zneužívány otevřené DNS resolvery nebo třeba NTP servery.