NCSC waarschuwt voor misbruik van memcached-servers voor DDoS-aanvallen
Bij recente nationale en internationale Distributed Denial of Service (DDoS)-aanvallen is misbruik gemaakt van publiek beschikbare memcached-systemen. Om misbruik te voorkomen adviseert het Nationaal Cyber Security Centrum (NCSC) deze systemen van het internet af te schermen.
Memcached is een systeem bedoeld om tijdelijk kleine hoeveelheden data uit andere bronnen op te slaan om websites sneller te maken. Het NCSC wijst erop dat het systeem niet is beveiligd met authentificatiemethoden aangezien het niet is ontwikkeld om publiek beschikbaar te zijn. Desondanks zijn er in Nederland ongeveer drieduizend memcached-systemen publiekelijk beschikbaar.
Amplification aanval
Het is mogelijk misbruik te maken van deze servers door met behulp van bepaalde commando's veel dataverkeer naar een doelwit te genereren. Het gaat hierbij om een amplification aanval, waarbij een aanvaller gespoofte verzoeken stuurt naar memcached-servers die afkomstig lijken te zijn van het slachtoffer. Doordat de antwoorden die de server geeft groter zijn dan de verzoeken die de aanvaller verstuurt, kan een aanvaller met relatief weinig bandbreedte al snel een grootschalige DDoS-aanval op het doelwit uitvoeren.
Een niet afgeschermd memcached-systeem kan de data die wordt verstuurd tot een factor 1.000 vergroten, waarmee het systeem aanvallers een zeer grote amplificatie-factor biedt. Dit is voor aanvallers een groot voordeel en maakt de servers dan ook interessant voor misbruik. Het NCSC verwacht dan ook dat aanvallers de systemen zullen blijven inzetten voor het uitvoeren van DDoS-aanvallen.
Maatregelen nemen
Het centrum adviseert netwerkbeheerders daarom te controleren of er publieke memcached- of andere systemen in het netwerk aanwezig zijn dit kunnen worden misbruikt voor amplificatie-aanvallen. Indien dit het geval is adviseert het NCSC maatregelen te nemen om misbruik te voorkomen, zoals het afschermen van de servers van internet. Bij de recente DDoS-aanvallen waarbij de servers zijn misbruikt is gebruik gemaakt van memcached-systemen die beschikbaar zijn op poort 11211.
In de factsheets Continuiteit van onlinediensten en Technische maatregelen voor de continuiteit van onlinediensten geeft het NCSC meer informatie over maatregelen die bedrijven kunnen nemen om zich voor te bereiden op DDoS-aanvallen.
Meer over
Lees ook
A10 Thunder TPS Series-appliances beschermen tegen zware DDoS-aanvallen
A10 Networks lanceert de A10 Thunder TPS Series. De security appliances bieden netwerkbrede bescherming tegen zware DDoS-aanvallen. Bedrijven kunnen met de appliances de beschikbaarheid en kwaliteit van zowel bedrijfskritische internetverbindingen en publieke websites verbeteren. De A10 Thunder TPS Series is gebaseerd op de DDoS-functionaliteit d1
Top 10 DDoS-trends uit 2013
Distributed Denial of Service (DDoS)-aanvallen zijn afgelopen jaar veel in het nieuws geweest. Prolexic, leverancier van oplossingen die tegen DDoS-aanvallen beschermen, heeft een top tien samengesteld van de belangrijkste DDoS-trends die we in 2013 hebben gezien. De top 10 is samengesteld op basis van data over DDoS-aanvallen die Prolexic in 2011
Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol
Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1