Tras el ataque a GitHub, la plataforma de control de versiones en línea y distribución de código, el pasado 28 de febrero de 2018 y considerado como el peor ataque de denegación de servicio distribuido (DDoS) jamás registrado (al sufrir un pico de 1.35 terabits por segundo (Tbps)), Netscout Arbor informó que dicho ataque fue posible debido a una falla en la seguridad de los servidores de Memcached, además de pronosticar más ataques de magnitud similar o incluso mayor.
Asimismo, prevé un aumento en el uso indebido de servidores Memcached (almacenan caché de todo tipo de datos para optimizar la velocidad de redes y sitios web) que residen en centros de datos de Internet como reflectores / amplificadores, los cuales seguirán siendo aprovechados para lanzar ataques DDoS sobre otros en Internet,debido a que se ha convertido en una solución popular de caché de páginas web, explicó la empresa.
Hardik Modi, director denior de Asert de Netscout Arbor, informó que aun cuando no se tienen estadísticas fidedignas sobre la base instalada de Memcached, los investigadores estimaron casi 100,000 instalaciones disponibles en Internet que se pueden usar en tales ataques, es decir, tienen configuraciones abiertas y no están protegidas por un firewall.
Memcached es un sistema open source con versiones para Linux, Windows y MacOs, y es empleado por sitios web como Wikipedia, Flickr, Twitter, Youtube, Digg, WordPress.com, Craigslist, LiveJournal, Bebo, Typepad, Yellowbot, Mixi, entre otros.
Modi puntualizó que dicha amenaza es conocida como ataque de reflexión / amplificación, en el que paquetes específicos basados en el protocolo UDP (User Datagram Protocol) se dirigen a dichos servidores y dan como resultado respuestas mucho más grandes (amplificadas) que se envían a cambio. “Debido a que UDP permite suplantar al remitente, las respuestas más grandes se envían a otras víctimas. Al utilizar múltiples servidores de este tipo, es posible lanzar ataques a gran escala (distribuidos) que pueden causar interrupciones y retrasos en servicios críticos basados en Internet”, aclaró el directivo.
Al igual que la mayoría de las metodologías de ataque DDoS, los ataques DDoS de Memcached fueron inicialmente, y durante un breve intervalo, empleados manualmente por atacantes expertos; posteriormente fueron armados y puestos a disposición de los atacantes de todos los niveles mediante las llamadas botnets DDoS-for-hire ‘booter / stresser’.
«Los operadores de red deben tomar medidas proactivas para asegurarse de estar preparados para detectar, clasificar, rastrear y mitigar dichos ataques DDoS, así como para comprobar que las instalaciones de Memcached en sus redes no puedan explotarse como reflectores / amplificadores», enfatizó Hardik Modi.
