Podría decirse que este tipo de fallos se encuentran por desgracia a la orden del día. La única diferencia con respecto a otros casos es que, en esta ocasión, se ha conocido el fallo de seguridad antes de ser explotado. Expertos en seguridad han descubierto que los servidores Memcached fallan al proteger los puertos UDP, convirtiéndose en un blanco fácil para los ciberdelincuentes y sus ataques de denegación de servicio.
Los expertos en seguridad indican que se trata de un fallo del equipo de desarrollo de la solución a la hora de dar soporte al protocolo UDP en su producto.
Para todos aquellos que no sepan de que estamos hablando, vamos a realizar una breve introducción de la solución afectada. Memcached se trata de un sistema distribuido que permite el cacheo de información en la memoria RAM. Con este software se busca acelerar la búsqueda y el acceso a información. En lugar de acudir al disco, las posibilidades que la información se encuentre en la RAM es más elevada. A nivel de sistemas operativos, está disponible tanto para Windows, como Linux y macOS.
¿Desconocido? Aunque no te lo creas, se trata de un sistema utilizado por importantes servicios de Internet en sus servidores, como Youtube, Facebook, Twitter o Reddit, entre otros.
Han sido desde Cloudflare los que han alertado de este problema. Su reporte informa de que la semana pasada observaron algunos comportamientos anómalos de servidores que poseen Memcached. Indican que, los atacantes, enviaban a los puertos UDP paquetes de algunos bytes de tamaño. Algo poco significativo. Sin embargo, el servicio proporciona una respuesta que en algunas ocasiones es de tamaño considerable.
Si hasta este momento has entendido que los servidores pueden ser las víctimas, estás equivocado. Partiendo del envío de estos paquetes de tamaño desproporcionado, los ciberdelincuentes pueden provocar que estos se envíen a una dirección IP concreta como respuesta. Es decir, la de la víctima, el objetivo real del ataque DDoS. La inyección de comandos es una técnica de ataque importante.
Análisis del fallo de Memcached
Los expertos de Cloudflare abordan el problema ofreciendo cifras. Para ser más exactos, indican que los ciberdleincuentes realizan peticiones de 15 Bytes, y el servidores responde con un paquetes de 750 KiloBytes. Indican que no se trata de un tamaño exacto, y que puede variar en función de los paquetes de origen que se utilicen.
A los expertos en seguridad les preocupa la capacidad de amplificación que posee este ataque, pudiendo llegar hasta los 257 Gbps.
Más de 93.000 equipos con Memcached accesible de forma relativamente sencilla desde Internet
Muchos no son conscientes de cuál es la magnitud del problema. Si no fuese una solución conocida de cacheo de contenidos estaríamos hablando de un mal menor o que pasaría desapercibido para los ciberdelincuentes. Sin embargo, son conocedores de lo popular que es esta solución entre los servicios de Internet.
La solución para poner punto y final a este problema, o al menos de momento, es desactivar la utilización de los puertos UDP si el servidor no se encuentra detrás de un firewall. Y es que son muchos los servidores accesibles desde Internet, algo por otra parte lógico y que juega a favor de los ciberdelincuentes.