“Kill Switch”可缓解Memcached DDoS攻击

大规模的DDoS攻击以前所未有的50000放大倍数最近导致了一些历史上最大的DDoS攻击。

更糟糕的是，昨天有人发布了用于Memcached放大攻击的概念验证（PoC）攻击代码，这使得脚本小子也更容易发动大规模网络攻击。
尽管多次发出警告，但仍有12000多台启用UDP支持的易受攻击Memcached服务器可在互联网上访问，这可能很快会引发更多网络攻击。

然而，好消息是，Corero Network Security的研究人员发现了一种技术，利用这种技术，DDoS受害者可以在一个循环中向攻击的Memcached服务器发回一个简单的命令，即“shutdown\r\n”或“flush_all\r\n”，以防止放大。

其中，flush_all命令只是刷新内容(所有键及其值)存储在缓存中，无需重新启动Memcached服务器。

该公司表示，其kill switch已经在实时攻击Memcached服务器上进行了有效测试，结果显示100%有效，并已向国家安全机构披露。

Based on this finding, security researcher Amir Khashayar Mohammadi，世卫组织专注于恶意软件分析、密码分析、网络攻击和其他网络攻击载体—创建并发布了一个简单的DDoS缓解工具，名为记忆修复，向易受攻击的Memcached服务器发送刷新或关闭命令。

Memfixed是用Python编写的，它使用Shodan API自动获取易受攻击的Memcached服务器列表，以触发关机/刷新命令。

从Memcached服务器窃取敏感数据

另外？Corero研究人员还声称，Memcached漏洞（CVE-2018-1000115）比最初报告的范围更广，除了利用它进行DDoS攻击之外，还可以利用它进行攻击。
在没有透露任何技术细节的情况下，该公司表示，远程攻击者也可以利用Memcached漏洞，通过发出简单的调试命令，从易受攻击的Memcached服务器窃取或修改数据。

动态数据库驱动的网站使用Memcached应用程序，通过在RAM中缓存数据和对象来提高性能。

由于Memcached被设计为无需登录或密码即可使用，攻击者可以从其本地网络或主机远程窃取其缓存的敏感用户数据，而无需任何身份验证。

这些数据可能包括机密数据库记录、电子邮件、网站客户信息、API数据、Hadoop信息等。

该公司表示：“通过使用一个简单的调试命令，黑客可以泄露您数据的‘密钥’，并从世界的另一端检索所有者的数据”。“此外，还可能在Memcached所有者不知情的情况下恶意修改数据并将其重新插入缓存”。

强烈建议服务器管理员安装最新的Memcached 1.5.6版本，默认情况下禁用UDP协议，以防止放大/反射DDoS攻击。