NCSC waarschuwt voor misbruik van memcached-servers voor DDoS-aanvallen
Bij recente nationale en internationale Distributed Denial of Service (DDoS)-aanvallen is misbruik gemaakt van publiek beschikbare memcached-systemen. Om misbruik te voorkomen adviseert het Nationaal Cyber Security Centrum (NCSC) deze systemen van het internet af te schermen.
Memcached is een systeem bedoeld om tijdelijk kleine hoeveelheden data uit andere bronnen op te slaan om websites sneller te maken. Het NCSC wijst erop dat het systeem niet is beveiligd met authentificatiemethoden aangezien het niet is ontwikkeld om publiek beschikbaar te zijn. Desondanks zijn er in Nederland ongeveer drieduizend memcached-systemen publiekelijk beschikbaar.
Amplification aanval
Het is mogelijk misbruik te maken van deze servers door met behulp van bepaalde commando's veel dataverkeer naar een doelwit te genereren. Het gaat hierbij om een amplification aanval, waarbij een aanvaller gespoofte verzoeken stuurt naar memcached-servers die afkomstig lijken te zijn van het slachtoffer. Doordat de antwoorden die de server geeft groter zijn dan de verzoeken die de aanvaller verstuurt, kan een aanvaller met relatief weinig bandbreedte al snel een grootschalige DDoS-aanval op het doelwit uitvoeren.
Een niet afgeschermd memcached-systeem kan de data die wordt verstuurd tot een factor 1.000 vergroten, waarmee het systeem aanvallers een zeer grote amplificatie-factor biedt. Dit is voor aanvallers een groot voordeel en maakt de servers dan ook interessant voor misbruik. Het NCSC verwacht dan ook dat aanvallers de systemen zullen blijven inzetten voor het uitvoeren van DDoS-aanvallen.
Maatregelen nemen
Het centrum adviseert netwerkbeheerders daarom te controleren of er publieke memcached- of andere systemen in het netwerk aanwezig zijn dit kunnen worden misbruikt voor amplificatie-aanvallen. Indien dit het geval is adviseert het NCSC maatregelen te nemen om misbruik te voorkomen, zoals het afschermen van de servers van internet. Bij de recente DDoS-aanvallen waarbij de servers zijn misbruikt is gebruik gemaakt van memcached-systemen die beschikbaar zijn op poort 11211.
In de factsheets Continuiteit van onlinediensten en Technische maatregelen voor de continuiteit van onlinediensten geeft het NCSC meer informatie over maatregelen die bedrijven kunnen nemen om zich voor te bereiden op DDoS-aanvallen.
Meer over
Lees ook
Microsoft Defender Suite en een SOC houden remote werknemers veilig
Nu de behoefte aan veilig werken exponentieel toeneemt, is het beveiligen van externe en hybride werknemers een steeds groter probleem geworden. Voorheen gebruikten bedrijven beveiliging architecturen die gebaseerd waren op het beschermen van medewerkers die werkzaam waren in on-premises kantooromgevingen.
CISO’s dragen bij aan de algehele strategie voor risicobeheer
CISO’s dragen bij aan de algehele strategie voor risicobeheer Bedrijven rekenen erop dat betrouwbare en veilige IT hun processen ondersteunt. Hoewel IT lang werd gezien als een operationele kostenpost is het inmiddels onlosmakelijk verbonden met de manier waarop bedrijven werken.
WatchGuard: Remote Access Software steeds vaker misbruikt
Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat conclude1