Deskripsi:

Pakar keamanan dari beberapa perusahaan keamanan (Cloudflare, Arbor Networks dan Qihoo 360) telah melaporkan bahwa pelaku kejahatan siber telah mulai menyalahgunakan protokol memcached untuk memperkuat serangan distributed denial-of-service (DDoS), biasa disebut memcached DDoS attacks,

Memcached adalah sistem caching memori terdistribusi yang dirancang untuk mempercepat aplikasi web dinamis dengan mengurangi beban database, memcached bersifat free dan opensource, klien berkomunikasi dengan server memcached via TCP atau UDP pada port 11211.

Serverity:

Critical

Laporan detail dari Arbor Network:

Arbor telah mengamati peningkatan yang signifikan dalam penyalahgunaan server memcached yang salah dikonfigurasi yang berada di jaringan Internet Data Center (IDC) sebagai reflektor/amplifier untuk meluncurkan serangan/amplifikasi volume UDP yang tinggi. Karena server memcached biasanya memiliki akses bandwidth yang relatif tinggi dan berada pada jaringan IDC dengan uplink kecepatan tinggi, sifat memcached sangat cocok untuk disalahgunakan dalam simulasi DDoS dengan bandwidth tinggi/amplifikasi.

memcached adalah sistem caching database in-memory yang biasanya digunakan di jaringan IDC, ‘cloud’, dan Infrastructure-as-a-Service (IaaS) untuk meningkatkan kinerja situs web berbasis database dan layanan yang dihadapi Internet lainnya. Karena sifatnya sebagai bentuk organic caching middleware dan kurangnya kontrol akses (kecuali yang secara khusus disusun dengan opsi otentikasi TLS yang jarang digunakan), memcached tidak boleh terkena Internet publik. Sayangnya, ada banyak penerapan memcached di seluruh dunia yang telah digunakan menggunakan konfigurasi default yang tidak aman, dan tanpa kebijakan akses jaringan yang sesuai untuk situasi yang diterapkan sebagai ACL transit (tACL) untuk melindungi server dari penyalahgunaan oleh penyerang.

Pada tahun 2010, presentasi di BlackHat USA menunjukkan bahwa ada banyak pemetaan memcached yang tidak aman yang bisa digunakan untuk mengambil dan mungkin mengubah basis data sensitif layanan yang dihadapi Internet seperti server Web, situs e-commerce, dan lain-lain. Pada bulan November dari 2017, memcached diidentifikasi sebagai vektor refleksi / amplifikasi yang mungkin oleh tim riset keamanan ‘Okee’ yang berbasis di China.

Kami telah mengamati uptick yang cukup besar dalam memcached reflection/amplification attacks mulai dari beberapa ratus mb/s hingga 500gb/s dan lebih besar. Lalu lintas serangan yang diperkuat bersumber dari UDP/11211, dengan ukuran paket 1428 bytes (1442 bytes dengan lapisan-2 termasuk framing Ethernet), dan tidak ada fragmentasi (memcached segmen respons yang besar pada layer-7, seperti halnya ntp). Penyerang biasanya ‘memberi’ seperangkat reflektor/amplifier yang dipcached dengan pasangan kunci/nilai yang sewenang-wenang, dan kemudian mengeluarkan memcached query untuk pasangan kunci/nilai tersebut, menipu alamat IP dari host/jaringan yang ditargetkan. Baik query priming dan seruan stimulus serangan dapat diarahkan dari port sumber pilihan penyerang ke UDP/11211 pada alat reflektor/amplifier yang dapat disalahgunakan, yang berarti bahwa penyerang memiliki kendali penuh terhadap port tujuan yang ditargetkan pada host/jaringan tujuan.

Penilaian Arbour saat ini adalah bahwa, seperti kebanyakan metodologi serangan DDoS lainnya, memcached serangan DDoS digunakan secara manual oleh penyerang terampil; mereka kemudian telah dipersenjatai dan tersedia untuk penyerang dari semua tingkat keahlian melalui botnet DDoS-for-hire ‘booter/stresser’. Kenaikan pesat dalam prevalensi serangan ini menunjukkan bahwa vektor serangan yang relatif baru ini dibuat dengan senjata dan diikat secara luas oleh penyerang dalam interval yang relatif singkat.

Sangat penting bahwa operator jaringan melakukan tindakan proaktif untuk memastikan mereka siap mendeteksi, mengklasifikasi, mentransmisikan, dan mitigasi serangan ini, serta memastikan bahwa setiap instalasi memcached pada jaringan dan/atau jaringan pelanggan akhir mereka tidak dapat dimanfaatkan sebagai reflektor/amplifier

 

Cara Mitigasi:

Serangan DDoS memcached reflection/amplification dapat dikurangi dengan menerapkan Best Current Practices (BCP) standar industri seperti validasi alamat sumber/BCP38/BCP84; dengan memanfaatkan fungsi infrastruktur jaringan seperti flowpec, transit ACLs (tACLs), dan kebijakan kualitas layanan QoS yang selektif; dan dengan memanfaatkan sistem mitigasi DDoS yang cerdas (IDMSes) seperti Arbor SP/TMS dan APS untuk mempertahankan target serangan ini, dan juga untuk secara selektif mencegah reflektor/amplifier yang dapat dieksploitasi karena disalahgunakan oleh penyerang.

 

Tindakan yang Disarankan:

Semua infrastruktur jaringan yang relevan, host/aplikas /layanan, dan operasional Best Current Practices (BCPs) harus dilaksanakan oleh operator jaringan. Secara khusus, minimisasi kondisi sangat dianjurkan sebagai prinsip operasional umum untuk meningkatkan ketahanan dalam menghadapi serangan. Kebijakan akses jaringan yang sesuai dengan situasi harus dilaksanakan melalui jalur transit arus transit ACL (tACL) di Internet Express (IDC) untuk memblokir lalu lintas jaringan yang tidak sah yang ditujukan untuk UDP/11211 dan TCP/11211 untuk memasukkan IDC.

Operator jaringan harus mengekspor telemetri flow (misalnya NetFlow, IPFIX, s/Flow, cflowd/jflow, Netstream, et al.) Dari mulai peering/transit/agregasi pelanggan dan jalur distribusi data Internet (IDC) ke Arbor SP, yang menyediakan kemampuan untuk mendeteksi, mengklasifikasi, dan traceback serangan DDoS lalu lintas.

Lalu lintas yang berasal dari UDP/11211 dapat dibatasi dengan aman saat peering/transit/ penerapan kebijakan QoS yang sesuai untuk situasi yang ditempatkan di ujung route. Sebagai alternatif, ACL transit (tACL) dapat digunakan di saat pengintaian, tepi agregasi pelanggan, dan tepi distribusi gateway data Internet (IDC) untuk memblokir lalu lintas jaringan yang bersumber dari UDP/11211. Dalam kedua kasus tersebut, maintenance harus dilakukan untuk menghindari pemblokiran berlebihan yang tidak perlu.

 

Solusi Singkat:

Jika Anda seorang Operator, update atau terapkan Port Filtering pada exploitable port. Tambahkan port TCP / UDP 11211.

Jika Anda adalah perusahaan, tanyakan kepada upstream ISP Anda apakah mereka menerapkan Port Filtering pada exploitable port dan lihat peraturan firewall Anda untuk menambahkannya ke jaringan Anda. Keamanan berlapis berarti diperlukan, sehingga perlu untuk meminta ISP Anda melakukan bagian mereka saat Anda melakukan bagian Anda.

 

Inovasi Informatika Indonesia (i3) merupakan authorize partner EC-Council yang menyediakan berbagai jenis kelas training dan sertifikasi di bidang keamanan (security), mulai dari tingkat fundamental sampai tingkat advance.

Inovasi Informatika Indonesia (i3) juga menyedakan security services, seperti Hardening, Vulnerability Assessment, Penetration Testing, Incident Handling, Security Operation Center, dll.

Info lebih lengkap tentang training dan services yang tersedia di i3 dapat dibaca disini atau hubungi langsung tim sales kami.