Flere sikkerhedsforskere har fundet en metode til at standse et angreb, der udnytter åbne Memcache-servere. En række angreb har den seneste måned udnyttet Memcache-servere til at forstærke DDoS-angreb (Distributed Denial of Service).
Angrebet foregår ved, at angriberen sender en forespørgsel til en Memcache-server med forfalsket afsenderadresse. Adressen tilhører det offer, angriberen vil ramme. Memcache-serveren sender svaret på forespørgslen til offeret, hvis IP-adresse bliver overbelastet af de mange og store svarpakker.
Der gik ikke en engang en uge, før rekorden for båndbredde i DDoS-angreb (Distributed Denial of Service) blev slået. For nylig blev GitHub ramt af et angreb, hvor webstedet blev bombarderet med 1,3 terabit data i sekundet.
Nu er en amerikansk tjenesteudbyder ramt af et angreb, der toppede ved 1,7 terabit/s.
Ligesom det foregående angreb udnyttede det seneste åbne Memcache-servere. De giver mulighed for at forstærke angrebet.
Sikkerhedsfirmaet Qihoo 360 venter, at angreb kan nå op på 2 terabit/s.
De seneste dage har sikkerhedsfirmaer observeret en stor vækst i DDoS-angreb, der udnytter servere med cache-systemet Memcache. Angrebene er såkaldte reflection-angreb.
Angriberen sender en UDP-pakke med forfalsket afsenderadresse til en Memcache-server. Pakken indeholder en forespørgsel om at få tilsendt data fra serveren.
Serveren sender de ønskede data til den forfalskede afsenderadresse, der tilhører offeret. Derved bliver offerets IP-adresse overbelastet, da dataene kan være meget omfattende.
Det har sikkerhedsfirmaet Cisco Talos registreret. Firmaet fandt sårbarheden og hjalp med at få den rettet. Siden har det fulgt udviklingen på de servere, der anvender Memcached.
Ved en scanning i februar og marts tjekkede Cisco Talos, om servere kørte den rettede version eller fortsat brugte den gamle, usikre version. Næsten otte ud af ti servere var stadig sårbare.
Udviklerne af Memcached, der bruges til at øge ydeevnen for web-applikationer, har lukket tre alvorlige sikkerhedshuller. De giver en angriber mulighed for at afvikle skadelige programmer.
Sikkerhedsfirmaet Cisco Talos har identificeret fejlene. Hvis en Memcached-server kan nås fra internettet, kan en angriber sende en særlig kommando til den og udnytte sårbarhederne.
Også Memcached-servere bag en firewall kan blive angrebet, hvis angriberen på anden vis er kommet ind på en anden maskine på nettet.