امروز: یکشنبه، 30 اردیبهشت 1397

دو کد بهره‌برداری اثبات مفهومی جداگانه برای حمله‌ی Memcached amplification به صورت برخط منتشر شده است که به اسکریپت‌ها این امکان را می‌دهد که با استفاده از بازتاب‌های UDP به راحتی حملات منع سرویس توزیع‌شده‌ی گسترده انجام دهند. اولین ابزار منع سرویس توزیع‌شده در زبان برنامه‌نویسی C نوشته شده است. در حالی که، ابزار دوم منع سرویس توزیع‌شده‌ی Memcached در پایتون نوشته شده است.

  


ابزار اول منع سرویس توزیع‌شده در زبان برنامه‌نویسی C نوشته شده است و با فهرستی از کارگزارهای آسیب‌پذیر Memcached کار می‌کند. در حال حاضر توضیحات آن شامل فهرستی از ۱۷ هزار کارگزار آسیب‌پذیر Memcached است که در اینترنت در معرض خطر قرار گرفته‌اند.

در حالی که، ابزار دوم منع سرویس توزیع‌شده‌ی Memcached در پایتون نوشته شده است که از رابط برنامه‌نویسی موتور جستجوی Shodan استفاده می‌کند تا لیست جدیدی از کارگزارهای آسیب‌پذیر Memcached را به دست آورد و سپس بسته‌های UDP با منبع جعلی را به هر کارگزاری ارسال کند.

 

هفته‌ی گذشته ما شاهد ۲ حمله‌ی منع سرویس توزیع‌شده‌ی بی‌سابقه بودیم، یکی حمله‌ی ۱.۳۵ Tbps که گیت‌هاب را هدف قرار داد و دیگری حمله‌ی ۱.۷ Tbps علیه یک شرکت ناشناس در آمریکا که با استفاده از روشی به نام حمله‌ی amplification/reflection انجام شده بودند.

حمله‌ی amplification/reflection مبتنی بر Memcached با بهره‌برداری از هزاران کارگزار Memcached با پیکربندی اشتباه، پهنای باند حملات منع سرویس توزیع‌شده را تقویت می‌کند.

در واقع Memcached یک سامانه‌ی حافظه‌ی ذخیره‌سازی توزیع‌شده‌ی متن‌باز محبوب است که هفته‌ی گذشته زمانی که پژوهش‌گران نحوه‌ی سوء‌استفاده از آن برای راه‌اندازی حمله‌ی منع سرویس توزیع‌شده‌ی amplification/reflection با ارسال یک درخواست جعلی به کارگزار Memcached مورد هدف در درگاه ۱۱۲۱۱ با استفاده از یک آی‌پی جعلی مطابق با آی‌پی قربانی را تشریح کردند، خبرساز شد.

به دنبال یک حمله‌ی منع سرویس توزیع‌شده‌ی قدرتمند چند بایت از درخواست ارسال شده به کارگزار آسیب‌پذیر Memcached می‌تواند پاسخی ده‌ها هزار بار بزرگ‌تر به آدرس آی‌پی مورد هدف ارسال کند.

از هفته‌ی گذشته، زمانی که Memcached به عنوان یک بردار حمله‌ی amplification/reflection جدید شناخته شد، برخی از گروه‌های نفوذ بهره‌برداری از کارگزارهای Memcached ناامن را آغاز کردند.

اما در حال حاضر با انتشار کد بهره‌برداری اثبات مفهومی شرایط بدتر می‌شود، و برای هر کسی این امکان فراهم می‌شود که حملات منع سرویس توزیع‌شده‌ی گسترده‌ای راه‌اندازی کند، و تا زمانی که آخرین کارگزار آسیب‌پذیر Memcached وصله نشده، یا به صورت کامل برون‌خط نشده، تحت کنترل نخواهد بود.

علاوه بر این، گروه‌های مجرمان سایبری در حال حاضر از این روش منع سرویس توزیع‌شده‌ی جدید استفاده کرده‌اند تا وب‌گاه‌های بزرگ را برای اخاذی تهدید کنند.

 

در پی حمله‌ی منع سرویس‌توزیع‌شده به گیت‌هاب در هفته‌ی گذشته، Akamai گزارش داد که به مشتریان آن پیام‌های اخاذی دریافت کرده‌اند که همراه با بار داده‌ی حمله‌ی «junk-filled» ارسال شده است و از آن‌ها ۵۰ XMR (سکه‌های مونرو) به ارزش بیش از ۱۵ هزار دلار درخواست می‌کند.

حملات amplification/reflection جدید نیستند. مهاجمان قبلاً از این روش حمله‌ی منع سرویس توزیع‌شده برای بهره‌برداری از آسیب‌پذیری‌های موجود در DNS، NTP، SNMP، SSDP، Chargen و سایر پروتکل‌ها استفاده کرده‌اند تا مقیاس حملات سایبری خود را به حداکثر برسانند.

برای مقابله با این حمله و جلوگیری از سوء استفاده از کارگزارهای Memcached، بهترین گزینه، اتصال Memcached به یک رابط محلی با غیرفعال کردن کامل پشتیبانی UDP است.


منبع: news.asis.io