Publican el código para lanzar ataques DDoS masivos con servidores Memcached

08/03/2018

Ahora cualquier podría intentar un ataque de denegación de servicio para romper el récord, ya que las herramientas utilizadas para lanzar los ataques fueron publicadas en GitHub esta semana.

El código de prueba de concepto del usuario de Twitter @037 combinado con una lista de 17,000 direcciones IP de servidores memcached vulnerables permite a cualquier persona enviar paquetes UDP (protocolo de datagramas de usuario) falsificados a servidores de memcached obtenidos del motor de búsqueda de computadoras Shodan.io.

Ha pasado poco más de una semana desde el primer ataque masivo de denegación de servicio alimentado por Memcached. Los autores del código dicen que el lanzamiento es "para atraer más atención a la falla y obligar a otros a actualizar sus dispositivos".

La era de los ataques DDoS de terabits fue anunciada en este mes con ataques de denegación de servicio gigantes que establecieron la semana pasada récords con ataques de 1.35 Tbps y 1.7 Tbps. Utilizaron servidores memcached no protegidos para lanzar los ataques, uno de los cuales se dirigió a GitHub. El último ataque se dirigió a un proveedor de servicios de EE. UU. no identificado, según Arbor Networks.

El lunes se lanzó una segunda herramienta, informó BleepingComputer, pero el autor es desconocido.

Akamai y Cloudflare predijeron más ataques después de los esfuerzos para establecer un récord. El CEO de Cloudflare Matthew Prince dijo que la semana pasada lofgó detectar ataques independientes de un tamaño similar.

Corero, un servicio de protección de denegación de servicio, publicó contramedidas el pasado miércoles.

“Al analizar shodan.io se supo que hay muchos más de 17,000 servidores Memcached que pueden usarse para ataques DDoS", dijo Ashley Stephenson, CEO de Corero. "Si los servidores vulnerables de la lista se utilizan para ataques, se pueden neutralizar con el “kill switch” enviando solo 17,000 paquetes, uno a cada servidor atacante, neutralizando su potencial DDoS hasta que el atacante los vuelva a cargar, lo que lleva 10,000 veces más tiempo. Corero ha anunciado hoy que el comando 'flush-all' puede ser utilizado como un ‘kill switch’ de defensa activa benigna por aquellos que están siendo atacados para suprimir ataques del servidor Memcached comprometido".

La vulnerabilidad ha existido durante una década y cada vez más servidores están tomando medidas para proteger sus máquinas. Los proveedores de servicios en la nube también están tomando medidas para limitar la velocidad de los puertos UDP que inician los ataques.

Artículos relacionados: