Github bị DDOS lên đến 1.35Tbs thông qua lỗ hổng của Memcached

1 tin tức khá thú vị về bảo mật trong những ngày cuối tháng 2. Đó là Github là mục tiêu tấn công thử nghiệm thông qua lỗ hổng mới phát hiện của Memcached.

Bằng cách giả mạo IP sender, attacker đã lợi dụng Memcached để DDOS Github với độ khuếch đại lên đến 51,200 lần 0_0.

1 lần nữa chúng ta thấy lại hình ảnh của MongoDB khi service này listen all interface và mặc định public ra ngoài.

Kẽ hở này được attacker sử dụng với Memcached nhưng không còn để tống tiền ransomware nữa.

15 bytes of request triggered 134KB of response. This is amplification factor of 10,000x! In practice we’ve seen a 15 byte request result in a 750kB response (that’s a 51,200x amplification).

Với sự thông dụng của Memcached và cách cài đặt lazy ăn sẵn của các sysassmin, Github trở thành bia tập trận với lưu lượng peak lên tới 1.35Tbs – gần như là lớn nhất từ trước tới giờ, vượt qua cả vụ Mirai Botnet.

Với hạ tầng khá khủng, network tới 100Gbs nhưng Github vẫn nhanh chóng thất thủ.

Tuy nhiên với sự trợ giúp của ChatOps, các Site Reliability Engineerings ở Github đã  switch ASN của mình qua hệ thống chống DDOS của Akamai Prolexic. Akamai là nhà cung cấp CDN lớn nhất thế giới (Facebook và đa số Fortune 500 đều xài), có hàng trăm ngàn máy chủ khắp nơi trên thế giới (1 trong số rất ít CDN nước ngoài có server  Vietnam). Akamai cho biết họ tự tin hạ tầng hàng ngày có thể phục vụ từ 14 đến 30% tổng lưu lượng Internet của thế giới.

Để dễ hình dung thì lần tấn công này, Github phải chịu trận với lưu lượng bằng 1.35Tbs = 168.75GBs = 1/321 tổng lưu lượng Internet trên toàn thế giới.

 

[0] http://www.internetlivestats.com/one-second/#traffic-band

Và tất nhiên Akamai dư sức đương đầu với trận này 🙂

Theo điều tra của CloudFlare thì Vietnam có dải IP của VNPT 🙂

Interestingly our datacenters in EWR, HAM and HKG see disproportionally large numbers of attacking IPs. This is because most of the vulnerable servers are located in major hosting providers. The AS numbers of the IPs that we’ve seen:

┌─ips─┬─srcASN──┬─ASName───────────────────────────────────────┐
│ 578 │ AS16276 │ OVH                                          │
│ 468 │ AS14061 │ DIGITALOCEAN-ASN - DigitalOcean, LLC         │
│ 231 │ AS7684  │ SAKURA-A SAKURA Internet Inc.                │
│ 199 │ AS9370  │ SAKURA-B SAKURA Internet Inc.                │
│ 165 │ AS12876 │ AS12876                                      │
│ 119 │ AS9371  │ SAKURA-C SAKURA Internet Inc.                │
│ 104 │ AS16509 │ AMAZON-02 - Amazon.com, Inc.                 │
│ 102 │ AS24940 │ HETZNER-AS                                   │
│  81 │ AS26496 │ AS-26496-GO-DADDY-COM-LLC - GoDaddy.com, LLC │
│  74 │ AS36351 │ SOFTLAYER - SoftLayer Technologies Inc.      │
│  65 │ AS20473 │ AS-CHOOPA - Choopa, LLC                      │
│  49 │ AS49981 │ WORLDSTREAM                                  │
│  48 │ AS51167 │ CONTABO                                      │
│  48 │ AS33070 │ RMH-14 - Rackspace Hosting                   │
│  45 │ AS19994 │ RACKSPACE - Rackspace Hosting                │
│  44 │ AS60781 │ LEASEWEB-NL-AMS-01 Netherlands               │
│  42 │ AS45899 │ VNPT-AS-VN VNPT Corp                         │
│  41 │ AS2510  │ INFOWEB FUJITSU LIMITED                      │
│  40 │ AS7506  │ INTERQ GMO Internet,Inc                      │
│  35 │ AS62567 │ DIGITALOCEAN-ASN-NY2 - DigitalOcean, LLC     │
│  31 │ AS8100  │ ASN-QUADRANET-GLOBAL - QuadraNet, Inc        │
│  30 │ AS14618 │ AMAZON-AES - Amazon.com, Inc.                │
│  30 │ AS31034 │ ARUBA-ASN                                    │
└─────┴─────────┴──────────────────────────────────────────────┘

Most of the memcached servers we’ve seen were coming from AS16276 – OVH, AS14061 – Digital Ocean and AS7684 – Sakura.

In total we’ve seen only 5,729 unique source IPs of memcached servers. We’re expecting to see much larger attacks in future, as Shodan reports 88,000 open memcached servers:

CloudFlare cũng khuyến cáo các ISP hãy hành động để ngăn chặn những vụ giả mạo IP tương tự

và mong các developer khi viết software không nên bật UDP mặc đinh

Developers

Please please please: Stop using UDP. If you must, please don’t enable it by default. If you do not know what an amplification attack is I hereby forbid you from ever typing SOCK_DGRAM into your editor.

We’ve been down this road so many times. DNS, NTP, Chargen, SSDP and now memcached. If you use UDP, you must always respond with strictly a smaller packet size then the request. Otherwise your protocol will be abused. Also remember that people do forget to set up a firewall. Be a nice citizen. Don’t invent a UDP-based protocol that lacks authentication of any kind.

 

Theo tin tức mới cập nhật thì vụ tấn công đâu tiên ghi nhận qua lỗ hổng này vào năm 2017 ở Trung Quốc

Previous Memcached-based DDoS attacks

New evidence also suggests it was Qihoo 360 researchers from the 0Kee Team who discovered the Memcached DDoS attack vector in late 2017. While their findings were never highly publicized, somebody appears to have found their research paper.

As Akamai warns, the size of these attacks is going up, and it might soon reach even bigger numbers.

In fact, this is what appears to be happening. DDoS attacks leveraging the Memcached vulnerability started over the weekend. Cloudflare reported mitigating the first such attacks, which reached 260 Gbps, on Monday, February 26.

Qrator Labs then reported mitigating another Memcached-based DDoS attack that reached over 500 Gbps, followed by the one that Akamai detected of 1.3 Tbps.

In their research paper, the 0Kee team estimated Memcached servers could be abused to launch DDoS attacks of around 2 Tbps.

The previous DDoS attack record was of 1 Tbps, suffered by French hosting provider OVH in the autumn of 2016. That DDoS attack was carried out with the first version of the Mirai IoT malware, and was extremely hard to mitigate because it contained more varied packets that originated from random ports.

Qrator Labs – Dịch vụ CDN và chống DDOS của 1 công ty Nga ( đang được Lazada.vn sử dụng) cũng thông báo mới ngăn chặn 1 vụ tương tự với lưu lượng 500Gbs

Leave a Reply