Datové centrum Coolhousing zaznamenalo prostřednictvím flowmon sond (netflow) zneužití zranitelnosti memcache pro DDoS útoky z různých vnitřních i vnějších zdrojových adres převážně z USA, Číny a Ruska se zdrojovým UDP portem 11211.
Uvedené útočné chování zaznamenali rovněž provozovatelé jiných sítí a v tuto chvíli probíhá rozsáhlá výměna informací v rámci CSIRT týmů, aby bylo možné co nejefektivněji předejít výpadku služeb napříč celým Internetem.
Příčinou tohoto útočného chování je nezabezpečená memcache serveru naslouchající na UDP portu 11211. Útočník využije tohoto chybného nastavení serveru pro realizaci nebo lépe pro zesílení útoku na jiný subjekt v Internetu (tzv. amplification attack). Cílem tedy mnohdy není server s chybným nastavením služby memcache, ten se stává „pouze“ součástí botnetu, ale někdo zcela jiný.
Obdobné zneužití chybné konfigurace serveru se již v minulosti mnohokrát opakovalo, například prostřednictvím služby DNS (TCP port 53), NTP (UDP port 123) a dalších.
Více informací o tomto typu útoku.
CSIRT Tým datového centra Coolhousing by chtěl tímto vyzvat všechny administrátory serverů, nikoliv jen zákazníky datacentra Coolhousing, aby provedli revizi nastavení svých serverů s důrazem na nastavení memcache a komunikaci na/skrze UDP port 11211. Přispějete tak k vyšší bezpečnosti a dostupnosti nejen svých služeb.
Velice děkujeme.
CSIRT Coolhousing
