Claves para mitigar los ataques basados en Memcached

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Últimamente, los ataques de denegación de servicio (DDoS) han crecido en efectividad y tamaño. Marzo comenzó con el ataque DDoS de 1,35 terabits por segundo dirigido a GitHub, y unos días más tarde, Arbor Networks mitigada un nuevo ataque que alcanzó 1,7 Tbps. En ambos ataques se utilizó un método cada vez más popular entre los ciberdelincuentes: aprovechar la vulnerabilidad de miles de servidores Memcached mal configurados expuestos en Internet para amplificar los ataques.

Alrededor de 100.000 servidores de Memcached están expuestos en la red sin ninguna protección de autenticación, de manera que un ciberdelincuente puede acceder a ellos. Estos falsifican la dirección IP de su víctima y envían múltiples paquetes de datos a servidores Memcached, que devuelven miles de veces los datos de las solicitudes a la víctima.

Con grandes cantidades de datos enviados por segundo – se calcula que en torno a 10 paquetes de datos cada segundo – el servidor Memcached amplifica considerablemente el volumen de datos que pueden enviarse contra un objetivo. La facilidad para llevar a cabo este tipo de ataques, unido a la existencia de miles de servidores Memcached vulnerables disponibles en Internet, ha convertido esta amenaza en uno de los principales vectores de ataque de 2018.

Algunos expertos señalan que los ataques basados en Memcached continuarán aumentando e incluso podrían superar los 2Tbps. Además, muchos atacantes que recurren a este tipo específico de ataque DDoS ya están comenzando a monetizar este tipo de amenazas, exigiendo un pago a sus víctimas. Afortunadamente, como señala Panda Security, se están comenzando a desarrollar medidas y herramientas de mitigación para prevenir y neutralizar estos ataques.

Una técnica mediante la cual las víctimas de ataques DDoS pueden detener estos ataques consiste en enviar ciertos comandos, como “shutdown \ r \ n”, o “flush_all \ r \ n”, a los servidores Memcached que están siendo atacados para desactivarlos y evitar la amplificación. Otra forma efectiva para prevenir este tipo de amenazas consiste en deshabilitar el protocolo de Memcached de cualquier servidor expuesto en la red.

Además de las medidas citadas para evitar que Memcached permita un posible ataque a tu empresa, Panda Security recomienda contar un plan de detección y mitigación de ataques DDoS. Para ello, es necesario revisar detalladamente las configuraciones de los routers y firewalls de manera que se detengan todas las IP que no sean válidas, y limitar el tráfico que llega des un host para evitar saturar los servidores. Este plan también debería incluir un estudio periódico de las conexiones TCP/UDP con el servidor para poder identificar patrones de ataque, y, sobre todo, monitorizar constantemente el tráfico de la red de la empresa para evitar accesos no autorizados.