کشف «سوئیچ مرگ» برای حملات منع سرویس توزیع‌شده‌ی مبتنی بر Memcached

کشف «سوئیچ مرگ» برای حملات منع سرویس توزیع‌شده‌ی مبتنی بر Memcached

جمعه, ۱۸ اسفند, ۱۳۹۶ ساعت ۱۰:۱۱

محققان امنیتی از شرکت Corero Network Security اعلام کردند که یک سوئیچ مرگ برای متوقف کردن آسیب پذیری در سرورهای Memcached پیدا کرده اند. اخیرا شاهد هستیم که این سرورهای آسیب پذیر، در حملات منع سرویس توزیع شده مورد بهره برداری قرار گرفته و حملات با شدت زیادی را به وجود آورده اند.


این شرکت اعلام کرده این سوئیچ مرگ را در اختیار آژانس‌های امنیت ملی قرار داده و معتقد است آسیب‌پذیری در این سرورها بیشتر از چیزی است که قبلا تصور می‌شده است. مهاجمی که از سرورهای Memcached بهره‌برداری می‌کند، می‌تواند داده‌های موجود در این سرورها را به سرقت برده و  یا ویرایش کند.


همان‌طور که قبلا اشاره کردیم سرورهای Memcached یک سیستم توزیع‌شده و متن‌باز برای مدیریت حافظه‌های نهان در سطح اینترنت هستند و بر روی پورت شماره‌ی ۱۱۲۱۱ پروتکل UDP و یا TCP می‌توان به آن‌ها متصل شد و نیاز به هیچ‌گونه احراز هویتی نیز وجود ندارد و این مسأله باعث می‌شود تا این سرورها به راحتی در سطح اینترنت قابل دسترسی باشند.


در اواخر ماه فوریه محققان هشدار دادند از آسیب‌پذیری موجود در این سرورها می‌توان در حملات منع سرویس توزیع‌شده‌ی تقویتی استفاده کرد و در ادامه حملاتی با شدت ۱٫۳ و ۱٫۷ ترابیت بر ثانیه گزارش شد. دلیل اصلی این آسیب‌پذیری، امکان ارسال درخواست‌های کوچک با آدرس‌های IP جعلی است که باعث ایجاد پاسخی ۵۰ هزار برابر بزرگ‌تر به سمت سیستم قربانی می‌شود.


تقریبا نزدیک به ۹۵ هزار سرور آسیب‌پذیر در سطح اینترنت وجود داشته و این مسأله پتانسیل بهره‌برداری از آن‌ها را بالا می‌برد. شرکت امنیتی Corero در واقع ادعا می‌کند که در این سرورها ممکن است اطلاعات حساس کاربران از شبکه‌های محلی ذخیره شده باشد که از جمله‌ی آن‌ها می‌توان به پایگاه داده‌ی سازمان‌ها، اطلاعات مشتریان وب‌سایت‌ها، داده‌های مربوط به واسط‌های برنامه‌نویسی و دیگر اطلاعات اشاره کرد.


با توجه به اینکه برای دسترسی به این سرورها هیچ‌گونه احراز هویتی صورت نمی‌گیرد، مهاجم می‌تواند با اجرای یک دستور عیب‌یابی، کل اطلاعات سرور را بازیابی کند. حالت بدتر نیز زمانی رخ می‌دهد که مهاجم داده‌ها را ویرایش کرده و مجددا در حافظه‌ی نهان تزریق می‌کند. سوئیچ مرگی که شرکت Corero کشف کرده، درخواستی را به سمت سرور حمله‌کننده ارسال می‌کند تا شدت حمله‌ی منع سرویس توزیع‌شده را سرکوب کند. این اقدام مخالف، حافظه‌ی نهان در سرور حمله‌کننده را نامعتبر می‌کند به عبارت دیگر هر بار داده‌ی مخربی که مهاجمان در بسته‌های ارسالی قرار داده بودند، بلااستفاده می‌شوند. 


این شرکت امنیتی اعلام کرده این بسته‌های خنثی‌کننده را در طول یک حمله‌ی فعال آزمایش کرده و این روش بدون هیچ آسیب جانبی، بسیار موثر است. قبلا اشاره کرده بودیم که برای جلوگیری از این حملات می‌توان پروتکل UPD را غیرفعال کرد و یا بر روی دیواره‌ی آتش، قانونی برای مسدود کردن پروتکل UDP بر روی پورت ۱۱۲۱۱ ایجاد کرد. 
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 × 2 =