Tras el ataque que sufrió GitHub la semana pasada, NETSCOUT Arbor informó que es muy probable que haya amenazas de magnitud similar o incluso mayor, pues prevé un aumento significativo en el uso indebido de servidores Memcached – estos almacenan caché de todo tipo de datos para optimizar la velocidad de redes y sitios Web -, que residen en centros de datos de Internet (IDC) como reflectores / amplificadores, los cuales seguirán siendo aprovechados para lanzar ataques DDoS sobre otros en Internet debido a que se ha convertido en una solución popular de caché de páginas Web.
Hardik Modi, Director Senior de ASERT de NETSCOUT Arbor, informó que aun cuando no se tienen estadísticas fidedignas sobre la base instalada de Memcached, los investigadores han estimado que hay casi 100,000 instalaciones disponibles en Internet que se pueden usar en tales ataques, es decir, tienen configuraciones abiertas y no están protegidas por un firewall”, precisó el directivo.
Memcached es un sistema open source con versiones para Linux, Windows y MacOs, y es empleado por múltiples sitios Web: Wikipedia, Flickr, Twitter, Youtube, Digg, WordPress.com, Craigslist, LiveJournal, Bebo, Typepad, Yellowbot, Mixi, entre muchos más.
Hardik Modi puntualizó que dicha amenaza es conocida como ataque de reflexión / amplificación, en el que paquetes específicos típicamente basados en el protocolo UDP (User Datagram Protocol) se dirigen a dichos servidores y dan como resultado respuestas mucho más grandes (amplificadas) que se envían a cambio. “Debido a que UDP permite suplantar al remitente, las respuestas más grandes se envían a otras víctimas. Al utilizar múltiples servidores de este tipo, es posible lanzar ataques a gran escala (distribuidos) que pueden causar interrupciones y retrasos en servicios críticos basados en Internet”, explicó el directivo.
Al igual que la mayoría de las metodologías de ataque DDoS, los ataques DDoS de Memcached fueron inicialmente, y durante un breve intervalo, empleados manualmente por atacantes expertos; posteriormente fueron armados y puestos a disposición de los atacantes de todos los niveles mediante las llamadas botnets DDoS-for-hire ‘booter / stresser’.
Hardik Modi enfatizó que debe tenerse en cuenta que las verdaderas víctimas son a las que se dirigen los ataques DDoS. “Los operadores de red deben tomar medidas proactivas para asegurarse de estar preparados para detectar, clasificar, rastrear y mitigar dichos ataques DDoS, así como para comprobar que las instalaciones de Memcached en sus redes no puedan explotarse como reflectores / amplificadores”.
