NCSC waarschuwt voor misbruik van memcached-servers voor DDoS-aanvallen
Bij recente nationale en internationale Distributed Denial of Service (DDoS)-aanvallen is misbruik gemaakt van publiek beschikbare memcached-systemen. Om misbruik te voorkomen adviseert het Nationaal Cyber Security Centrum (NCSC) deze systemen van het internet af te schermen.
Memcached is een systeem bedoeld om tijdelijk kleine hoeveelheden data uit andere bronnen op te slaan om websites sneller te maken. Het NCSC wijst erop dat het systeem niet is beveiligd met authentificatiemethoden aangezien het niet is ontwikkeld om publiek beschikbaar te zijn. Desondanks zijn er in Nederland ongeveer drieduizend memcached-systemen publiekelijk beschikbaar.
Amplification aanval
Het is mogelijk misbruik te maken van deze servers door met behulp van bepaalde commando's veel dataverkeer naar een doelwit te genereren. Het gaat hierbij om een amplification aanval, waarbij een aanvaller gespoofte verzoeken stuurt naar memcached-servers die afkomstig lijken te zijn van het slachtoffer. Doordat de antwoorden die de server geeft groter zijn dan de verzoeken die de aanvaller verstuurt, kan een aanvaller met relatief weinig bandbreedte al snel een grootschalige DDoS-aanval op het doelwit uitvoeren.
Een niet afgeschermd memcached-systeem kan de data die wordt verstuurd tot een factor 1.000 vergroten, waarmee het systeem aanvallers een zeer grote amplificatie-factor biedt. Dit is voor aanvallers een groot voordeel en maakt de servers dan ook interessant voor misbruik. Het NCSC verwacht dan ook dat aanvallers de systemen zullen blijven inzetten voor het uitvoeren van DDoS-aanvallen.
Maatregelen nemen
Het centrum adviseert netwerkbeheerders daarom te controleren of er publieke memcached- of andere systemen in het netwerk aanwezig zijn dit kunnen worden misbruikt voor amplificatie-aanvallen. Indien dit het geval is adviseert het NCSC maatregelen te nemen om misbruik te voorkomen, zoals het afschermen van de servers van internet. Bij de recente DDoS-aanvallen waarbij de servers zijn misbruikt is gebruik gemaakt van memcached-systemen die beschikbaar zijn op poort 11211.
In de factsheets Continuiteit van onlinediensten en Technische maatregelen voor de continuiteit van onlinediensten geeft het NCSC meer informatie over maatregelen die bedrijven kunnen nemen om zich voor te bereiden op DDoS-aanvallen.
Meer over
Lees ook
Dit zijn de verwachtingen in 2024 voor het continu veranderende dreigingslandschap
Niemand weet wat ‘The Next Big Thing’ in het dreigingslandschap wordt. Wat wel mogelijk is, is terugkijken naar 2023, opvallende gedragingen van actoren identificeren en een gefundeerde inschatting maken van wat 2024 mogelijk in petto heeft.
Cloudflare DDoS-rapport over vierde kwartaal 2023
Cloudflare heeft een rapport uitgebracht over de wereldwijde DDoS-aanvallen in het vierde kwartaal van 2023. Opmerkelijke bevindingen zijn vooral de enorme toename van het aantal DDoS-aanvallen gericht op milieuorganisaties tijdens de COP28 en op Taiwan. Verder blijft het aantal DDoS-aanvallen gericht op retailers en logistieke dienstverleners ron1
Fortinet lanceert Fortinet Advisor, een generative AI assistant
Fortinet voegt een nieuwe oplossing toe aan zijn aanbod van ruim 40 door AI ondersteunde security-producten. Het gaat om Fortinet Advisor, een generative AI (GenAI) assistant. Fortinet Advisor maakt momenteel deel uit van FortiSIEM, de security information & event management (SIEM)-oplossing van Fortinet, en FortiSOAR, zijn security orchestration,1