DDoS via Memcached : la menace s'éloigne graduellement

Les premières attaques en déni de service distribué (DDoS) par amplification/réflexion s’appuyant sur le service de bases de données en mémoire Memcached ont récemment battu tous les records. Et des outils sont récemment apparus, menaçant d’une multiplication rapide de ces attaques.

Le premier, Memcrashed, ne nécessite que d’indiquer l’adresse IP visée. Cela fait, il interroge le moteur de recherche spécialisé Shodan pour identifier tous les hôtes référencés et exposant le service Memcached sur Internet, sans protection. L’attaque peut alors être lancée de manière totalement industrielle.

Un second outil, un démonstrateur en fait, publié sur Pastebin, propose le même niveau d’industrialisation, mais il s’appuie sur une liste figée de quelques 17 000 hôtes susceptibles d’être détournés.

Mais, bonne nouvelle, la réponse s’organise rapidement. L’équipe chargée du développement et de la maintenance de Memcached a publié une version 1.5.6 du système qui désactive le support du protocole UDP par défaut : c’est à l’administrateur de l’activer manuellement.

De leur côté, les équipes de Corero Networks ont trouvé un correctif dont la mise en œuvre apparaît d’autant plus urgente que, selon eux, la vulnérabilité exploitée à des fins de DDoS peut également l’être pour exfiltrer des données ou en altérer – bien qu’elles ne détaillent pas comment. Le chercheur en sécurité à l’origine du démonstrateur Memcrashed est allé un pas plus loin, en développant un outil écrit en Python qui exploite Shodan pour identifier les hôtes vulnérables et leur appliquer le correctif de manière industrielle.

Memcached metrics: March 2018 +/- 107,431 servers online. We have reported 51,391 vulnerable servers to 4,129 ISPs, organizations. & owners in 150 countries. 49,286 are now fixed. It took 4,208 e-mails / 2 members / 4 volunteers / 144 hours. There are +/- 10K servers left to fix. https://t.co/Nf3I7xNFzD

— Victor Gevers (@0xDUDE) March 12, 2018

Dans le même temps, Victor Gevers, président de la fondation GDI, une association qui s’est donnée pour mission de contribuer à rendre Internet plus sûr, souligne les efforts menés à travers le monde par bénévoles, fournisseurs de services et autres organisations, pour tenter de remédier à la menace. Et d’avancer des chiffres, impressionnants, sur les résultats : initialement, il fallait compter sur plus de 51 000 serveurs vulnérables à travers le monde ; désormais, ils ne seraient plus que 6 115. Le fruit de plusieurs milliers d’e-mails adressés par six personnes, sur 144 heures de travail.