Memcached DDoS攻撃を緩和するコマンド
Memcachedサーバー経由でDDoS攻撃を緩和する仕組みが用意されつつある。
flush_allコマンドで緩和
DoS攻撃の被害者が、攻撃側のサーバに「flush_all」コマンドを打つだけの単純な緩和方法である。
Memcachedのサーバー開発者の1人であるDormandoが、先週提案した。
For what it's worth, if you're getting attacked by memcached's, it's pretty easy to disable them since the source won't be spoofed. They may accept "shutdown\r\n", but also running "flush_all\r\n" in a loop will prevent amplification.
— dormando (@dormando) February 27, 2018
この手法は、今まで多くの人に注目される事はなかったが、Coreroのプレスリリースによって多くの人から注目を得たようだ。
Coreoは、この手法を同社が提供する”DDoS軽減ソリューション”に統合し、ライブ攻撃中に「100%正常に機能する」と公表している。
Coreroの専門家は、「flush_all」を打つ手法について「副次的な被害は認められていない」と述べた。
MemcachedサーバーからのDDoS攻撃を受けている企業の中には、DDoS軽減サービスを受けることができない企業があるかもしれない。
そうした企業は、Dormandoが推奨する2つの手法ーー「flush_all」か「shutdown」ーーを自社システムに実装すればいいだろう。
これらのコマンドを実行すると、攻撃サーバをシャットダウンするか、DDoS攻撃の増幅効果を引き起こす悪質なパケットをキャッシュから消去する。
開発チームはMemcachedをv1.5.6にアップデート
これらのDDoS攻撃は、Memcachedサーバーがオンラインでアクセス可能である事が原因で発生している。
デフォルト設定でポート11211を公開しており、攻撃者はこれを使用してDDoS攻撃を反映、増幅しているのだ。
この脆弱性を修正するために、Memcachedチームは、2月27日に、Memcached v1.5.6をリリースした。
このリリースでは、デフォルトでUDPプロトコルを無効にする。
ユーザーはMemcachedサーバーを展開するときには、ユーザー自身がUDPサポートを有効にする必要がある。
脆弱なMemcachedサーバーの数が減少する
Memcachedの開発チームが行なった設定変更だけでなく、ユーザー側もMemcachedの使用を控えるようになっているようだ。
Rapid7は、インターネット上で公開されているポート11211のMemcachedサーバーが、3月1日に18,000台から3月5日に12,000台に減少したことを発表。
セキュリティ研究者のVictor Gevers氏は以下のようにTwitter上でコメントしている。
Although there were 107,431 Memcached servers in Shodan this morning. The population Memcached is slowly but steadily shrinking. Servers which where vulnerable this morning are now closed 8 hours later. We still have a long way to go but progress is being made. 👍 pic.twitter.com/nqAFt4BAmG
— Victor Gevers (@0xDUDE) March 7, 2018
他の数字の減少の理由としては、クラウドサービスプロバイダーがMemcachedの停止を促しており、脆弱なサーバーに関しては強制的に停止する事例もある事が挙げられるだろう。
For what it's worth, if you're getting attacked by memcached's, it's pretty easy to disable them since the source won't be spoofed. They may accept "shutdown\r\n", but also running "flush_all\r\n" in a loop will prevent amplification.
— dormando (@dormando) February 27, 2018
Memcachedに見つかった”別の欠陥”
どうやら、Memcachedサーバーを使用するユーザーがすべき対処は、DoS攻撃の対処だけに留まらないようだ。
Coreroは、DDoSの脆弱性が「当初報告されていたのよりも広範囲であり、脆弱なMemcachedサーバからのデータを盗み出したり、データの改ざんが行われる可能性がある」とコメントしている。
Coreoは同社が持つ情報をNSAに提供したと公表している。NSAがセキュリティ・アラートを公開する日も近いだろう。
(This article is a Japanese translation of ”Technique Discovered That Can Mitigate Memcached DDoS Attacks” written by Catalin Cimpanu at BleepingComputer.)