NCSC waarschuwt voor misbruik van memcached-servers voor DDoS-aanvallen
Bij recente nationale en internationale Distributed Denial of Service (DDoS)-aanvallen is misbruik gemaakt van publiek beschikbare memcached-systemen. Om misbruik te voorkomen adviseert het Nationaal Cyber Security Centrum (NCSC) deze systemen van het internet af te schermen.
Memcached is een systeem bedoeld om tijdelijk kleine hoeveelheden data uit andere bronnen op te slaan om websites sneller te maken. Het NCSC wijst erop dat het systeem niet is beveiligd met authentificatiemethoden aangezien het niet is ontwikkeld om publiek beschikbaar te zijn. Desondanks zijn er in Nederland ongeveer drieduizend memcached-systemen publiekelijk beschikbaar.
Amplification aanval
Het is mogelijk misbruik te maken van deze servers door met behulp van bepaalde commando's veel dataverkeer naar een doelwit te genereren. Het gaat hierbij om een amplification aanval, waarbij een aanvaller gespoofte verzoeken stuurt naar memcached-servers die afkomstig lijken te zijn van het slachtoffer. Doordat de antwoorden die de server geeft groter zijn dan de verzoeken die de aanvaller verstuurt, kan een aanvaller met relatief weinig bandbreedte al snel een grootschalige DDoS-aanval op het doelwit uitvoeren.
Een niet afgeschermd memcached-systeem kan de data die wordt verstuurd tot een factor 1.000 vergroten, waarmee het systeem aanvallers een zeer grote amplificatie-factor biedt. Dit is voor aanvallers een groot voordeel en maakt de servers dan ook interessant voor misbruik. Het NCSC verwacht dan ook dat aanvallers de systemen zullen blijven inzetten voor het uitvoeren van DDoS-aanvallen.
Maatregelen nemen
Het centrum adviseert netwerkbeheerders daarom te controleren of er publieke memcached- of andere systemen in het netwerk aanwezig zijn dit kunnen worden misbruikt voor amplificatie-aanvallen. Indien dit het geval is adviseert het NCSC maatregelen te nemen om misbruik te voorkomen, zoals het afschermen van de servers van internet. Bij de recente DDoS-aanvallen waarbij de servers zijn misbruikt is gebruik gemaakt van memcached-systemen die beschikbaar zijn op poort 11211.
In de factsheets Continuiteit van onlinediensten en Technische maatregelen voor de continuiteit van onlinediensten geeft het NCSC meer informatie over maatregelen die bedrijven kunnen nemen om zich voor te bereiden op DDoS-aanvallen.
Meer over
Lees ook
Nederlandse Tweede Kamerverkiezingen het perfecte lokaas voor cybercriminelen
De Nederlandse Tweede Kamerverkiezingen staan voor de deur. Politieke partijen voeren massaal verkiezingscampagnes in aanloop naar woensdag 22 november, de dag waarop de stembureaus geopend zijn en de Nederlandse kiezers hun stem uitbrengen.
Nederlandse online shoppers lopen risico op emailfraude
Proofpoint Inc., een cybersecurity- en compliance-bedrijf, publiceert onderzoek waaruit blijkt dat 68% van de grootste Nederlandse retailers achterloopt met elementaire cybersecuritymaatregelen. De bevindingen zijn gebaseerd op een Domain-based Message Authentication, Reporting en Conformance (DMARC) analyse van de top 50 grootste Nederlandse reta1
Orange Cyberdefense: ‘Cybersecurity in het AI-tijdperk vereist proactieve aanpak’
Want wanneer zich een cyberincident voordoet - en die kans is groot - kan het juiste plan en de juiste voorbereiding de impact beperken en de veerkracht vergroten. Dat was de rode draad van Orange Cyberdefense Live 2023, een evenement dat onlangs plaatsvond in Edegem, België.