Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

DDoS Concept 613054157 500

Ende Februar 2018 hat das Link11 Security Operation Center (LSOC) massive Angriffe über UDP auf den UDP-Quellport 11211 entdeckt. Dieser Angriffsmodus war bislang unbekannt. Die aktuellen Attacken bedeuten daher das Erscheinen eines neuen Amplification-Vektors, den sie nach ersten Analysen als „Memcached Reflection“ bezeichnen.

Die Attacken starteten an mehreren Tagen hintereinander, ihre Angriffsdauer betrug aktuell bis zu 10 Minuten. Besonders gefährlich sind die Attacken wegen ihrer sehr hohen Bandbreiten, die bei jeder einzelnen Attacke 100 Gbps überstiegen. Die Peaks dieser Hyper-Attacken gingen zudem weit über die 400 Gbps hinaus.

Memcached Reflection Angriffe sind in die Klasse der Reflection Amplification Attacken einzuordnen und ähneln z. B. DNS Reflection. Memcached selbst ist ein freies, hochperformantes Objektcaching-System unter Open Source-Lizenz. Es dient der Beschleunigung von dynamischen Web-Applikationen, da Objekte und andere Daten im Hauptspeicher des Servers zwischengelagert werden können. Die Angreifer nutzen hierbei schlecht abgesicherte Installationen des freien Caching-Systems aus: Es ist ungesichert über UDP-Port 11211 erreichbar, um Daten zu lesen/schreiben, aber auch um Statistiken abzufragen.

Memcached Reflection Angriffe nutzen im Internet frei verfügbare Server, welche Memcached installiert haben. Diese Server werden als „Verstärker" genutzt. Der Angriff an sich erfolgt relativ einfach: Zuerst werden potentielle Verstärker gesucht. Dies geschieht mittels UDP-Internetscans auf Port 11211. Der Angreifer stellt nun (zehn)tausende von Anfragen an die entsprechenden Server und nutzt dabei die IP Adresse des Angriffsziels als Absender-IP, so dass die Antworten der Memcached-Instanzen nicht an den Angreifer selbst, sondern in Richtung des Angriffsziels gesendet werden. (Zehn)tausende von Antworten werden dadurch von den Memcached Hosts in Richtung des Angriffsziels gesendet.

Memcached Reflection

 Ablauf einer Memcached Reflection Attacke, Copyright: Link11

Angriffseigenschaften

Attack Vector: Memcached Reflection

Peak Bandwidth: 460 Gigabits per second (bisher)

Source Port: 11211

Die eigentlichen Anfragen auf den Memcached Host sind dabei recht klein, während die Antworten um ein Vielfaches größer ausfallen. Analysen der Angriffe zeigten, dass der Verstärkungsfaktor in die Tausende gehen kann. Auch ein Angreifer, der mit relativ geringer Bandbreite angebunden ist, kann mit geringem Ressourceneinsatz Angriffe in der Größenordnung von über 100 Gbps erzeugen.

Schlussfolgerung

Memcached Reflection Angriffe sind eine massive Bedrohung, da der Verstärkungsfaktor immens hoch ist. Besorgniserregend ist auch, dass Memcached den Zugriff auf die im Cache befindlichen Daten ohne jegliche Authentifizierung erlaubt. Bei freiem Zugriff auf Port 11211 via UDP und TCP können Dritte sehr einfach an Daten in den entsprechenden Caches gelangen und diese auch modifizieren. Link11 empfiehlt hier den Zugriff auf Memcached von extern weitestgehend einzuschränken.

link11.com

 

GRID LIST
Tb W190 H80 Crop Int D2cac016e9d69b9200475c19f0b416ac

Forscher decken Sicherheitslücken in Fortnite auf

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Smarte News aus der IT-Welt