کمیته رکن چهارم – دو کد بهرهبرداری اثبات مفهومی جداگانه برای حملهی Memcached amplification به صورت برخط منتشر شده است که به اسکریپتها این امکان را میدهد که با استفاده از بازتابهای UDP به راحتی حملات منع سرویس توزیعشدهی گسترده انجام دهند.
ابزار اول منع سرویس توزیعشده در زبان برنامهنویسی C نوشته شده است و با فهرستی از کارگزارهای آسیبپذیر Memcached کار میکند. در حال حاضر توضیحات آن شامل فهرستی از ۱۷ هزار کارگزار آسیبپذیر Memcached است که در اینترنت در معرض خطر قرار گرفتهاند.
در حالی که، ابزار دوم منع سرویس توزیعشدهی Memcached در پایتون نوشته شده است که از رابط برنامهنویسی موتور جستجوی Shodan استفاده میکند تا لیست جدیدی از کارگزارهای آسیبپذیر Memcached را به دست آورد و سپس بستههای UDP با منبع جعلی را به هر کارگزاری ارسال کند.
هفتهی گذشته ما شاهد ۲ حملهی منع سرویس توزیعشدهی بیسابقه بودیم، یکی حملهی ۱.۳۵ Tbps که گیتهاب را هدف قرار داد و دیگری حملهی ۱.۷ Tbps علیه یک شرکت ناشناس در آمریکا که با استفاده از روشی به نام حملهی amplification/reflection انجام شده بودند.
حملهی amplification/reflection مبتنی بر Memcached با بهرهبرداری از هزاران کارگزار Memcached با پیکربندی اشتباه، پهنای باند حملات منع سرویس توزیعشده را تقویت میکند.
در واقع Memcached یک سامانهی حافظهی ذخیرهسازی توزیعشدهی متنباز محبوب است که هفتهی گذشته زمانی که پژوهشگران نحوهی سوءاستفاده از آن برای راهاندازی حملهی منع سرویس توزیعشدهی amplification/reflection با ارسال یک درخواست جعلی به کارگزار Memcached مورد هدف در درگاه ۱۱۲۱۱ با استفاده از یک آیپی جعلی مطابق با آیپی قربانی را تشریح کردند، خبرساز شد.
به دنبال یک حملهی منع سرویس توزیعشدهی قدرتمند چند بایت از درخواست ارسال شده به کارگزار آسیبپذیر Memcached میتواند پاسخی دهها هزار بار بزرگتر به آدرس آیپی مورد هدف ارسال کند.
از هفتهی گذشته، زمانی که Memcached به عنوان یک بردار حملهی amplification/reflection جدید شناخته شد، برخی از گروههای نفوذ بهرهبرداری از کارگزارهای Memcached ناامن را آغاز کردند.
اما در حال حاضر با انتشار کد بهرهبرداری اثبات مفهومی شرایط بدتر میشود، و برای هر کسی این امکان فراهم میشود که حملات منع سرویس توزیعشدهی گستردهای راهاندازی کند، و تا زمانی که آخرین کارگزار آسیبپذیر Memcached وصله نشده، یا به صورت کامل برونخط نشده، تحت کنترل نخواهد بود.
علاوه بر این، گروههای مجرمان سایبری در حال حاضر از این روش منع سرویس توزیعشدهی جدید استفاده کردهاند تا وبگاههای بزرگ را برای اخاذی تهدید کنند.
در پی حملهی منع سرویستوزیعشده به گیتهاب در هفتهی گذشته، Akamai گزارش داد که به مشتریان آن پیامهای اخاذی دریافت کردهاند که همراه با بار دادهی حملهی «junk-filled» ارسال شده است و از آنها ۵۰ XMR (سکههای مونرو) به ارزش بیش از ۱۵ هزار دلار درخواست میکند.
حملات amplification/reflection جدید نیستند. مهاجمان قبلاً از این روش حملهی منع سرویس توزیعشده برای بهرهبرداری از آسیبپذیریهای موجود در DNS، NTP، SNMP، SSDP، Chargen و سایر پروتکلها استفاده کردهاند تا مقیاس حملات سایبری خود را به حداکثر برسانند.
برای مقابله با این حمله و جلوگیری از سوء استفاده از کارگزارهای Memcached، بهترین گزینه، اتصال Memcached به یک رابط محلی با غیرفعال کردن کامل پشتیبانی UDP است.
منبع : news.asis.io
