NCSC waarschuwt voor misbruik van memcached-servers voor DDoS-aanvallen
Bij recente nationale en internationale Distributed Denial of Service (DDoS)-aanvallen is misbruik gemaakt van publiek beschikbare memcached-systemen. Om misbruik te voorkomen adviseert het Nationaal Cyber Security Centrum (NCSC) deze systemen van het internet af te schermen.
Memcached is een systeem bedoeld om tijdelijk kleine hoeveelheden data uit andere bronnen op te slaan om websites sneller te maken. Het NCSC wijst erop dat het systeem niet is beveiligd met authentificatiemethoden aangezien het niet is ontwikkeld om publiek beschikbaar te zijn. Desondanks zijn er in Nederland ongeveer drieduizend memcached-systemen publiekelijk beschikbaar.
Amplification aanval
Het is mogelijk misbruik te maken van deze servers door met behulp van bepaalde commando's veel dataverkeer naar een doelwit te genereren. Het gaat hierbij om een amplification aanval, waarbij een aanvaller gespoofte verzoeken stuurt naar memcached-servers die afkomstig lijken te zijn van het slachtoffer. Doordat de antwoorden die de server geeft groter zijn dan de verzoeken die de aanvaller verstuurt, kan een aanvaller met relatief weinig bandbreedte al snel een grootschalige DDoS-aanval op het doelwit uitvoeren.
Een niet afgeschermd memcached-systeem kan de data die wordt verstuurd tot een factor 1.000 vergroten, waarmee het systeem aanvallers een zeer grote amplificatie-factor biedt. Dit is voor aanvallers een groot voordeel en maakt de servers dan ook interessant voor misbruik. Het NCSC verwacht dan ook dat aanvallers de systemen zullen blijven inzetten voor het uitvoeren van DDoS-aanvallen.
Maatregelen nemen
Het centrum adviseert netwerkbeheerders daarom te controleren of er publieke memcached- of andere systemen in het netwerk aanwezig zijn dit kunnen worden misbruikt voor amplificatie-aanvallen. Indien dit het geval is adviseert het NCSC maatregelen te nemen om misbruik te voorkomen, zoals het afschermen van de servers van internet. Bij de recente DDoS-aanvallen waarbij de servers zijn misbruikt is gebruik gemaakt van memcached-systemen die beschikbaar zijn op poort 11211.
In de factsheets Continuiteit van onlinediensten en Technische maatregelen voor de continuiteit van onlinediensten geeft het NCSC meer informatie over maatregelen die bedrijven kunnen nemen om zich voor te bereiden op DDoS-aanvallen.
Meer over
Lees ook
Britse inlichtingendienst voerde DDoS-aanval uit op Anonymous
Anonymous is een hackersgroep die lange tijd banken en andere organisaties met behulp van Distributed Denial of Service (DDoS)-aanvallen plat wisten te leggen. De Britse geheime dienst GCHQ blijkt Anonymous met gelijke munt te hebben terugbetaald. De inlichtingendienst DDoS'te het IRC-kanaal en andere chatrooms van de hackersgroep. NBC beschikt ov1
Akamai verbetert DDoS-beveiligingsoplossing Kona Site Defender
Organisaties worden steeds vaker geconfronteerd met pogingen om websites onbereikbaar te maken via DDoS-aanvallen of om intellectueel eigendom of andere informatie te stelen. Akamai heeft verbeteringen doorgevoerd in zijn web application firewall (WAF), onderdeel van de web-beveiligingsoplossing Kona Site Defender. Met deze verbeteringen worden de1
Criminelen gebruiken DDoS-aanvallen via de telefoon om bedrijven af te persen
Cybercriminelen blijken voorbeeld te zijn voor andere criminelen die bedrijven en overheden via de telefoon proberen af te persen. De criminelen proberen telefooncentrales van bedrijven onbereikbaar te maken door deze te bestoken met een grote hoeveelheid telefoontjes. De tactiek lijkt veel op de DDoS-aanvallen die op internet met grote regelmaat1