محققان امنیتی از شرکت Corero Network Security اعلام کردند که یک سوئیچ مرگ برای متوقف کردن آسیب پذیری در سرورهای Memcached پیدا کرده اند. اخیرا شاهد هستیم که این سرورهای آسیب پذیر، در حملات منع سرویس توزیع شده مورد بهره برداری قرار گرفته و حملات با شدت زیادی را به وجود آورده اند.
این شرکت اعلام کرده این سوئیچ مرگ را در اختیار آژانسهای امنیت ملی قرار داده و معتقد است آسیبپذیری در این سرورها بیشتر از چیزی است که قبلا تصور میشده است. مهاجمی که از سرورهای Memcached بهرهبرداری میکند، میتواند دادههای موجود در این سرورها را به سرقت برده و یا ویرایش کند.
همانطور که قبلا اشاره کردیم سرورهای Memcached یک سیستم توزیعشده و متنباز برای مدیریت حافظههای نهان در سطح اینترنت هستند و بر روی پورت شمارهی ۱۱۲۱۱ پروتکل UDP و یا TCP میتوان به آنها متصل شد و نیاز به هیچگونه احراز هویتی نیز وجود ندارد و این مسأله باعث میشود تا این سرورها به راحتی در سطح اینترنت قابل دسترسی باشند.
در اواخر ماه فوریه محققان هشدار دادند از آسیبپذیری موجود در این سرورها میتوان در حملات منع سرویس توزیعشدهی تقویتی استفاده کرد و در ادامه حملاتی با شدت ۱٫۳ و ۱٫۷ ترابیت بر ثانیه گزارش شد. دلیل اصلی این آسیبپذیری، امکان ارسال درخواستهای کوچک با آدرسهای IP جعلی است که باعث ایجاد پاسخی ۵۰ هزار برابر بزرگتر به سمت سیستم قربانی میشود.
تقریبا نزدیک به ۹۵ هزار سرور آسیبپذیر در سطح اینترنت وجود داشته و این مسأله پتانسیل بهرهبرداری از آنها را بالا میبرد. شرکت امنیتی Corero در واقع ادعا میکند که در این سرورها ممکن است اطلاعات حساس کاربران از شبکههای محلی ذخیره شده باشد که از جملهی آنها میتوان به پایگاه دادهی سازمانها، اطلاعات مشتریان وبسایتها، دادههای مربوط به واسطهای برنامهنویسی و دیگر اطلاعات اشاره کرد.
با توجه به اینکه برای دسترسی به این سرورها هیچگونه احراز هویتی صورت نمیگیرد، مهاجم میتواند با اجرای یک دستور عیبیابی، کل اطلاعات سرور را بازیابی کند. حالت بدتر نیز زمانی رخ میدهد که مهاجم دادهها را ویرایش کرده و مجددا در حافظهی نهان تزریق میکند. سوئیچ مرگی که شرکت Corero کشف کرده، درخواستی را به سمت سرور حملهکننده ارسال میکند تا شدت حملهی منع سرویس توزیعشده را سرکوب کند. این اقدام مخالف، حافظهی نهان در سرور حملهکننده را نامعتبر میکند به عبارت دیگر هر بار دادهی مخربی که مهاجمان در بستههای ارسالی قرار داده بودند، بلااستفاده میشوند.
این شرکت امنیتی اعلام کرده این بستههای خنثیکننده را در طول یک حملهی فعال آزمایش کرده و این روش بدون هیچ آسیب جانبی، بسیار موثر است. قبلا اشاره کرده بودیم که برای جلوگیری از این حملات میتوان پروتکل UPD را غیرفعال کرد و یا بر روی دیوارهی آتش، قانونی برای مسدود کردن پروتکل UDP بر روی پورت ۱۱۲۱۱ ایجاد کرد.