Mới đây Github đã trải qua cuộc tấn công DDoS thông qua khai thác máy chủ memcached với mức khuếch đại lên tới hơn 50.000 lần, trở thành cuộc tấn công DDoS lớn nhất trong lịch sử.
Mã khai thác (PoC) của cuộc tấn công khuếch đại memcached đã được công bố khiến việc thực hiện tấn công DDoS trở nên dễ dàng hơn, thậm chí có thể thực hiện chỉ với những kịch bản đơn giản.
Mặc dù đã được cảnh báo nhiều lần, vẫn còn hơn 12.000 máy chủ memcached được kích hoạt UDP support, có thể bị truy cập qua Internet. Điều này có thể dẫn tới các cuộc tấn công mạng trong thời gian không xa.
Tuy nhiên, các nhà nghiên cứu Corero Network Security đã tìm ra một kỹ thuật cho phép các nạn nhân DDoS gửi lại câu lệnh đơn giản shutdown\r\n hoặc flush_all\r\ n tới các máy chủ memcached, nhằm ngăn chặn tấn công khuếch đại.
Lệnh flush_all giúp dọn sạch nội dung (toàn bộ các key và giá trị của chúng) được lưu trữ trong bộ nhớ cache, mà không cần khởi động lại máy chủ Memcached.
Các chuyên gia cho biết, công cụ này đã được thử nghiệm trên các máy chủ memcached đang hoạt động và đạt hiệu quả 100%.
Từ phát hiện này, chuyên gia Amir Khashayar Mohammadi thuộc Corero đã phát triển một công cụ hạn chế DDoS đơn giản có tên gọi Memfixed, gửi các lệnh flush hoặc shutdown tới các máy chủ Memcached bị khai thác.
Memfixed được viết bằng Python, tự động lấy một danh sách các máy chủ Memcached chứa lỗ hổng bằng cách sử dụng Shodan API để kích hoạt các lệnh shutdown/flush.
Lấy cắp dữ liệu nhạy cảm từ máy chủ memcached
Các nhà nghiên cứu cũng cho biết, lỗ hổng Memcached (CVE-2018-1000115) nghiêm trọng hơn so với báo cáo ban đầu và có thể bị khai thác để tấn công DDoS.
Mặc dù không tiết lộ chi tiết về lỗ hổng, Coreco cho biết lỗ hổng trong Memcached cũng có thể bị khai thác từ xa để lấy cắp hoặc sửa đổi dữ liệu trên các máy chủ Memcached thông qua câu lệnh sửa lỗi (debug) đơn giản.
Các trang web dữ liệu động sử dụng ứng dụng memcached để cải thiện hiệu năng bằng cách lưu dữ liệu và các đối tượng trong bộ nhớ RAM.
Do memcached có thể sử dụng mà không cần đăng nhập hay mật khẩu nên tin tặc có thể lấy cắp dữ liệu nhạy cảm mà người dùng lưu trữ trên mạng nội bộ hoặc máy chủ lưu trữ mà không yêu cầu xác thực.
Dữ liệu lấy cắp có thể bao gồm các bản ghi thông tin bí mật, email, thông tin khách hàng website, dữ liệu API, thông tin về Hadoop...
Các chuyên gia cho biết, bằng cách sử dụng một câu lệnh debug đơn giản, tin tặc có thể lấy được mật khẩu từ đó lấy cắp dữ liệu. Ngoài ra, kẻ tấn công cũng có thể sửa đổi dữ liệu và chèn thêm nội dung độc hại vào bộ nhớ cache mà chủ sở hữu memcached không biết.
Các chuyên gia khuyến cáo quản trị viên máy chủ nên cài đặt phiên bản phiên bản memcached mới nhất 1.5.6 để vô hiệu hóa giao thức UDP mặc định và ngăn chặn các cuộc tấn công DDoS.
Minh Thư
Theo The Hacker News
10:00 | 28/06/2018
09:00 | 28/02/2019
09:00 | 08/06/2018
16:00 | 18/09/2018
09:00 | 08/03/2024
Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.
10:00 | 31/01/2024
Các nhà nghiên cứu tại hãng bảo mật Kaspersky đã phát triển một kỹ thuật mới có tên là iShutdown để có thể phát hiện và xác định các dấu hiệu của một số phần mềm gián điệp trên thiết bị iOS, bao gồm các mối đe dọa tinh vi như Pegasus, Reign và Predator. Bài viết sẽ cùng khám phát kỹ thuật iShutdown dựa trên báo cáo của Kaspersky.
10:00 | 03/10/2023
Với sự gia tăng nhanh chóng của các mối đe dọa mạng tinh vi, các tổ chức ngày nay đang phải đối mặt với những thách thức lớn trong việc ngăn chặn và giảm thiểu các cuộc tấn công mạng. Để chống lại điều này, việc chia sẻ và phân tích thông tin tình báo về mối đe dọa vì thế càng trở nên mang tính cấp thiết và quan trọng. Nền tảng chia sẻ thông tin phần mềm độc hại (MISP) chính là một khuôn khổ nổi bật nhằm tạo điều kiện trao đổi thông tin tình báo về mối đe dọa giữa các tổ chức và cộng đồng an ninh mạng. Bài viết này cung cấp đánh giá cơ bản về nền tảng MISP, thảo luận về kiến trúc, các tính năng chia sẻ mối đe dọa cũng như những triển vọng của nó trong việc thúc đẩy phòng thủ an ninh mạng chủ động.
10:00 | 25/04/2023
HTTP và HTTPS là những giao thức ứng dụng có lịch sử lâu đời của bộ giao thức TCP/IP, thực hiện truyền tải siêu văn bản, được sử dụng chính trên nền tảng mạng lưới toàn cầu (World Wide Web) của Internet. Những năm gần đây, Google đã nghiên cứu thử nghiệm một giao thức mạng mới trong giao thức HTTP phiên bản 3 đặt tên là QUIC, với mục tiêu sẽ dần thay thế TCP và TLS trên web. Bài báo này giới thiệu về giao thức QUIC với các cải tiến trong thiết kế để tăng tốc lưu lượng cũng như làm cho giao thức HTTP có độ bảo mật tốt hơn.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024