VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Automate IT
18.10.18 - 18.10.18
In Frankfurt am Main

DDoS Concept 613054157 500

Ende Februar 2018 hat das Link11 Security Operation Center (LSOC) massive Angriffe über UDP auf den UDP-Quellport 11211 entdeckt. Dieser Angriffsmodus war bislang unbekannt. Die aktuellen Attacken bedeuten daher das Erscheinen eines neuen Amplification-Vektors, den sie nach ersten Analysen als „Memcached Reflection“ bezeichnen.

Die Attacken starteten an mehreren Tagen hintereinander, ihre Angriffsdauer betrug aktuell bis zu 10 Minuten. Besonders gefährlich sind die Attacken wegen ihrer sehr hohen Bandbreiten, die bei jeder einzelnen Attacke 100 Gbps überstiegen. Die Peaks dieser Hyper-Attacken gingen zudem weit über die 400 Gbps hinaus.

Memcached Reflection Angriffe sind in die Klasse der Reflection Amplification Attacken einzuordnen und ähneln z. B. DNS Reflection. Memcached selbst ist ein freies, hochperformantes Objektcaching-System unter Open Source-Lizenz. Es dient der Beschleunigung von dynamischen Web-Applikationen, da Objekte und andere Daten im Hauptspeicher des Servers zwischengelagert werden können. Die Angreifer nutzen hierbei schlecht abgesicherte Installationen des freien Caching-Systems aus: Es ist ungesichert über UDP-Port 11211 erreichbar, um Daten zu lesen/schreiben, aber auch um Statistiken abzufragen.

Memcached Reflection Angriffe nutzen im Internet frei verfügbare Server, welche Memcached installiert haben. Diese Server werden als „Verstärker" genutzt. Der Angriff an sich erfolgt relativ einfach: Zuerst werden potentielle Verstärker gesucht. Dies geschieht mittels UDP-Internetscans auf Port 11211. Der Angreifer stellt nun (zehn)tausende von Anfragen an die entsprechenden Server und nutzt dabei die IP Adresse des Angriffsziels als Absender-IP, so dass die Antworten der Memcached-Instanzen nicht an den Angreifer selbst, sondern in Richtung des Angriffsziels gesendet werden. (Zehn)tausende von Antworten werden dadurch von den Memcached Hosts in Richtung des Angriffsziels gesendet.

Memcached Reflection

 Ablauf einer Memcached Reflection Attacke, Copyright: Link11

Angriffseigenschaften

Attack Vector: Memcached Reflection

Peak Bandwidth: 460 Gigabits per second (bisher)

Source Port: 11211

Die eigentlichen Anfragen auf den Memcached Host sind dabei recht klein, während die Antworten um ein Vielfaches größer ausfallen. Analysen der Angriffe zeigten, dass der Verstärkungsfaktor in die Tausende gehen kann. Auch ein Angreifer, der mit relativ geringer Bandbreite angebunden ist, kann mit geringem Ressourceneinsatz Angriffe in der Größenordnung von über 100 Gbps erzeugen.

Schlussfolgerung

Memcached Reflection Angriffe sind eine massive Bedrohung, da der Verstärkungsfaktor immens hoch ist. Besorgniserregend ist auch, dass Memcached den Zugriff auf die im Cache befindlichen Daten ohne jegliche Authentifizierung erlaubt. Bei freiem Zugriff auf Port 11211 via UDP und TCP können Dritte sehr einfach an Daten in den entsprechenden Caches gelangen und diese auch modifizieren. Link11 empfiehlt hier den Zugriff auf Memcached von extern weitestgehend einzuschränken.

link11.com

 

GRID LIST
Hacker

Anstieg des CEO-Frauds beobachtet

Das Volumen von Phising-Nachrichten mit CEO-Fraud-Inhalt, die gemeldet wurden, hat sich…
Hacker Kamera

Zero‑Day‑Schwachstelle in Videoüberwachungs‑Software entdeckt

Mit der „Peekaboo” getauften Schwachstelle können Cyberkriminelle die Aufnahmen…
Hacker

Kryptomining-Malware in Kodi Add-ons enttarnt

Die Benutzer von Kodi sollten sich ihre installierten Zusatzprogramme nochmal ganz genau…
Hacker

Hacker-Gruppe LuckyMouse signiert Malware mit legitimem Zertifikat

Die Experten von Kaspersky Lab (GReAT) haben mehrere Infektionen eines bisher unbekannten…
Trojaner

Verbreitung von Mining-Trojanern für Windows und Linux

Im vergangenen Monat gerieten erneut Mining-Trojaner in das Visier der Virenanalysten von…
Schloss

Wie lassen sich falsche Webzertifikate ausstellen?

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in…
Smarte News aus der IT-Welt