Descrição dos ataques de reflexão/amplificação via servidores memcached e recomendações para mitigação de DDoS

Resumo de ameaças ASERT: Descrição dos ataques de reflexão/amplificação via servidores memcached e recomendações para mitigação de DDoS

Data/Hora: 27/02/2018 23:25 (UTC)

Título / Número: memcached Reflection/Amplification Description and DDoS Attack Mitigation Recommendations – Fevereiro de 2018 – v1.4.

Gravidade: Crítica

Distribuição: TLP WHITE (acesse <https://www.us-cert.gov/tlp>)

Categorias: Disponibilidade

Autores: Roland Dobbins & Steinthor Bjarnason

Colaboradores: Keshav Prabhakar, Luan Nguyen, Kirill Kasavchenko, Tomas Sundstrom, Jason Lang e Jonas Krogell.

Alterações da versão anterior: classificações de tamanho de pacote esclarecidas e valores corrigidos.

Descrição:

A Arbor observou um aumento significativo na exploração de servidores memcached mal configurados nas redes de Internet Data Centers (IDCs), usados como refletores/amplificadores para o lançamento de ataques de amplificação/reflexão UDP de grande volume. Como os servidores memcached geralmente possuem links de acesso com largura de banda relativamente ampla e residem em redes de datacenters com tráfego de alta velocidade, eles se prestam, por sua natureza, à reflexão/amplificação de ataques DDoS de grande porte. O rápido aumento na ocorrência desses ataques nos faz classificar a gravidade deste resumo de ameaças ASERT como crítica.

O memcached se constitui em um sistema de cache de banco de dados que roda na memória e normalmente é implantado nas redes de Internet Data Centers, serviços em nuvem e infraestrutura como serviço (Infrastructure-as-a-Service, ou IaaS) para melhorar o desempenho de sites baseados em bancos de dados e outros serviços de Internet. Em função das características de middleware de cache orgânico e da falta de controles de acesso (a menos que especificamente compilado com uma opção de autenticação TLS raramente usada), os servidores memcached não devem ser expostos à Internet pública. Infelizmente, em todo o mundo existem várias implementações de memcached que usam a configuração insegura padrão e não contam com políticas de acesso a rede capazes de proteger esses servidores.

Em 2010, uma apresentação no evento BlackHat USA indicou que havia muitas implantações inseguras de servidores memcached na Internet, que poderiam ser usadas para recuperar e possivelmente alterar bancos de dados sensíveis, relacionados a serviços on-line como servidores Web, sites de comércio eletrônico, etc. E, em novembro de 2017, os servidores memcached foram identificados como um possível vetor de reflexão/amplificação pela equipe de pesquisa de segurança “360 Okee”, baseada na China.

Observamos um aumento considerável nos ataques de reflexão/amplificação de memcached, com tamanhos que variam de algumas centenas de mb/s a até 500 gb/s, ou ainda maiores. O tráfego de ataque amplificado é proveniente da porta UDP/11211, com um pacote de 1.428 bytes (1.442 bytes com o framing Ethernet de camada 2) sem fragmentação (o memcached segmenta respostas na camada 7, por ntp). O atacante geralmente prepara um determinado conjunto de refletores/amplificadores de memcached com pares de chave/valor de comprimento arbitrário e, em seguida, emite consultas de memcached para esses pares de chave/valor, falsificando os endereços IP dos hosts/redes sob ataque. Tanto as “priming queries” quanto as consultas de estímulo de ataque podem ser direcionadas a partir das portas de origem escolhidas pelo invasor para a UDP/11211, em refletores/amplificadores vulneráveis. Ou seja, o invasor tem controle total da porta de destino a ser atacada nos hosts/redes de destino.

Também deve ser observado que essas “priming queries” também podem ser direcionadas para a porta TCP/11211 em servidores memcached vulneráveis. A TCP, hoje, não é considerada um transporte de reflexão/amplificação de alto risco para memcached, pois as “queries” TCP não podem ser falsificadas de forma convincente.

A avaliação atual da Arbor é que, como na maioria dos ataques DDoS, o memcached foi inicialmente – e por um breve período – operado manualmente por atacantes habilidosos; posteriormente, ficou ao alcance de todos por meio de botnets de aluguel. O rápido aumento da ocorrência desses ataques indica que esse novo vetor foi amplamente alavancado em um intervalo de tempo relativamente curto.

Em função da natureza da implementação do serviço/protocolo memcached, bem como da banda larga normalmente disponível para seus refletores/amplificadores, é fundamental que os operadores de rede tomem medidas proativas para garantir que estejam preparados para detectar, classificar, rastrear e mitigar esses ataques, bem como garantir que as instalações de servidores memcached em suas redes e/ou redes de clientes finais não sejam exploradas para reflexão/amplificação.

Impacto colateral:

O impacto colateral dos ataques DDoS de reflexão/amplificação em memcached pode ser altamente significativo, pois exibem altos índices de reflexão/ampliação e tiram proveito de refletores/amplificadores de servidores que normalmente possuem links de acesso com grande largura de banda, e que residem em IDCs com links de tráfego de alta velocidade.

Devido a seu alto volume, o tráfego de saída de reflexão/amplificação em memchached também pode ter um impacto negativo em redes vulneráveis. Servidores memcached também podem ser usados para ataques de reflexão/amplificação cruzados, visando a serviços/servidores que residem dentro dos mesmos IDCs.

Fatores de mitigação:

Os ataques de reflexão/amplificação em servidores memcached podem ser mitigados com sucesso, a partir da implementação de práticas atualizadas (Best Current Practices – BCP) padrão, como a validação de endereço de origem (BCP38/BCP84); com o uso de funcionalidades da infraestrutura de rede, como fluxpec, ACLs de tráfego (tACLs) e políticas seletivas de qualidade de serviço (QoS); e com a utilização de sistemas de mitigação DDoS inteligente (IDMS), como Arbor SP/TMS e APS, para defender os alvos desses ataques, bem como para impedir que os refletores/amplificadores vulneráveis sejam explorados.

Ações recomendadas:

BCPs operacionais, de host/aplicação/serviço e de infraestrutura devem ser implementadas pelos operadores de rede. Em particular, a minimização de estados é encorajada como princípio operacional para aumentar a resiliência diante do ataque. Políticas adequadas de acesso à rede devem ser implementadas com base em ACLs de tráfego (tACLs) nos links de IDCs, para impedir que o tráfego de rede não autorizado, destinado a UDP/11211 e TCP/11211, ingresse no datacenter.

Os operadores de rede devem exportar a telemetria de fluxo (por exemplo, NetFlow, IPFIX, s/Flow, cflowd/jflow, Netstream, etc.) das bordas de peering/tráfego/clientes e de distribuição do datacenter para o Arbor SP, que fornece a capacidade de detectar, classificar e rastrear o tráfego de ataque DDoS.

Dado que é extremamente raro o uso intencional de memcached em produção na Internet pública, o tráfego proveniente da porta UDP / 11211 pode ser limitado de forma segura nas bordas de peering/tráfego/clientes com a aplicação de políticas QoS apropriadas nos roteadores de borda. Outra opção é a implantação das ACLs de tráfego (tACLs) em bordas de peering, clientes e gateway de distribuição nos datacenters, para bloquear o tráfego de rede proveniente da UDP/11211. Em ambos os casos, é preciso cuidado para evitar o excesso de bloqueios desnecessários: o Arbor SP deve ser utilizado para determinar a eficácia das políticas QoS ou tACLs implementadas nas bordas da rede.

Os sistemas de IDMS Arbor SP/TMS e APS podem ser implantados de forma adequada para mitigar esses ataques, por meio de várias medidas anti DDoS, além de fluxpec tanto para mitigação de ataque quanto para desvio seletivo de tráfego (SP/TMS).

Sistemas TMS e/ou APS podem ser usados para mitigar o tráfego de ataque DDoS refletido/amplificado, bem como para evitar que as consultas memcached atinjam servidores mal configurados e, portanto, vulneráveis – localizados em redes IDC e on-premises do cliente final.

Como sempre, recomendamos fortemente que os operadores de rede implementem a validação de endereço de origem (BCP38/BCP84) para evitar que suas redes e as redes de seus clientes finais sejam usadas em ataques DDoS de reflexão/amplificação. Recomendamos também que os operadores de rede façam uma varredura em suas redes IDC, e nas de seus clientes finais, para identificar instalações de servidores memcached vulneráveis e, assim, fazer a correção necessária a tempo.

Soluções Arbor aplicáveis: Arbor APS, Arbor SP, Arbor TMS.

Referências:

http://memcached.org/
https://sensepost.com/blog/2010/blackhat-write-up-go-derper-and-mining-memcaches
https://github.com/sensepost/go-derper
https://www.anquanke.com/post/id/87233
https://tools.ietf.org/search/rfc5575
https://tools.ietf.org/html/rfc7674
https://www.apnic.net/wp-content/uploads/2017/01/SAVE-Factsheet-01-copy.pdf
https://tools.ietf.org/html/bcp38
https://tools.ietf.org/html/bcp84
https://www.arbornetworks.com/network-visibility-product/arbor-networks-sp
https://www.arbornetworks.com/ddos-protection-products/arbor-tms
https://www.arbornetworks.com/ddos-protection-products/arbor-aps

  • Posted in ASERT Blog
  • Comentários desativados em Descrição dos ataques de reflexão/amplificação via servidores memcached e recomendações para mitigação de DDoS
  • Tags: ,