Mới nhất:
  • Chia sẻ bài viết CyStack: Hơn 1.400 máy chủ sử dụng Memcached ở Việt Nam có nguy cơ bị biến thành botnet lên Linkhay
  • Giúp ictnews sửa lỗi

CyStack: Hơn 1.400 máy chủ sử dụng Memcached ở Việt Nam có nguy cơ bị biến thành botnet

ictnews
Theo thống kê từ CyStack, Công ty khởi nghiệp trong lĩnh vực an toàn thông tin, có trên 1.400 máy chủ dịch vụ Memcached ở Việt Nam tồn tại lỗ hổng nguy hiểm có nguy cơ bị biến thành mạng máy tính ma (botnet) để thực hiện các cuộc tấn công DDoS với mức độ lớn.

VNCERT cho biết, theo thống kê của trang securelist.com được công bố hồi tháng 1/2018, với khoảng 637.400 máy tính bị kiểm soát nằm trong mạng máy tính ma (botnet), Việt Nam xếp ở vị trí thứ 4 trong Top 10 quốc gia bị kiểm soát bởi mạng máy tính ma (Ảnh minh họa. Nguồn: Internet)

Thông tin từ CyStack vừa cho hay, thời gian gần đây, một số chiến dịch tấn công DDoS (tấn công từ chối dịch vụ phân tán) lớn trên phạm vi toàn cầu đã được các nhà mạng lớn phát hiện có dung lượng lên tới hơn 1.7Tbs. “Đây là con số cực kỳ khủng khiếp đối với một cuộc tấn công DDoS”, chuyên gia CyStack chia sẻ.

Các chuyên gia CyStack cũng cho biết, để làm được điều này, những kẻ tấn công sử dụng hình thức tấn công giả mạo IP nguồn (IP Spoofing) kết hợp với tấn công khuếch đại gói tin (UDP-Based Amplification Attacks) thông qua việc lợi dụng một vấn đề trong ứng dụng Memcached - một ứng dụng mã nguồn mở thường được dùng để lưu trữ dữ liệu cache cho các ứng dụng web.

Theo kết quả phân tích của CyStack, có 2 vấn đề chính ở Memcached mà tin tặc có thể lợi dụng để tấn công DDoS (CVE-2018-1000115). Cụ thể, các dịch vụ Memcached này đang mở 1 cổng dịch vụ lỗi thời, cổng 11211. Mặc định khi cài thì cổng này sẽ bị hạn chế truy cập từ bên ngoài, nhưng trên một số Distro Linux hoặc do lỗi cấu hình của quản trị mà rất nhiều máy chủ dịch vụ Memcached này đang mở cổng 11211 và cho phép kết nối từ bên ngoài không cần xác thực.

Vấn đề thứ hai là Memcached có khả năng khuếch đại gói tin và giả mạo địa chỉ IP. Các thử nghiệm cho thấy một requests 15 bytes gửi đến cổng 11211 của Memcached có thể phản hồi về một dữ liệu lên tới 750kB (tức là gói tin đã bị khuếch đại hơn 51000 lần) và tin tặc có thể giả mạo địa chỉ IP để đổ toàn bộ dữ liệu phản hồi này vào địa chỉ IP của máy chủ mục tiêu.

“Mặt khác cổng 11211 là cổng UDP, vì thế sẽ không có cơ chế nào kiểm soát được số lượng kết nối cũng như giới hạn dữ liệu phản hồi, những điểm yếu này đã được những kẻ tấn công lợi dụng triệt để”, chuyên gia CyStack phân tích.

Về kịch bản tấn công, theo CyStack, hacker sẽ quét mạng Internet hoặc sử dụng các dịch vụ (điển hình là Shodan) để tìm được các server mở cổng 11211 và chạy dịch vụ Memcached để biến các máy chủ này thành botnet. Tin tặc gửi liên tục gói tin giả mạo IP nguồn thành IP của máy chủ mục tiêu mà tin tặc muốn tấn công đến cổng 11211 của danh sách các máy chủ dịch vụ Memcached. Tiếp đó, các máy chủ dịch vụ Memcached này sẽ đồng loại gửi gói tin phản hồi về địa chỉ IP mục tiêu mà tin tặc muốn tấn công, từ đó tạo thành 1 cuộc tấn công DDoS với dữ liệu rất lớn.

Tin tặc lợi dụng vấn đề ở Memcached để tấn công DDoS (Nguồn ảnh: CyStack.net)

Chuyên gia CyStack cũng cho biết thêm: “Tấn công DDoS có thể xảy ra với bất kỳ website/ server nào và bạn cũng không ngoại lệ. Trong trường hợp bạn có một server đang cài đặt Memcached thì chính bạn cũng có thể trở thành 1 phần trong mạng botnet mà những kẻ tấn công đang lợi dụng”.

Để bảo vệ cho chính mình và những người khác, CyStack Security khuyến nghị người dùng cần kiểm tra xem server của mình có thuộc nhóm này không. Theo hướng dẫn của chuyên gia CyStack, người dùng có thể chủ động quét cổng dịch vụ của mình từ bên ngoài bằng cách sử dụng nmap, chạy lệnh “nmap TARGET_IP -p 11211 -sU -sS --script memcached-info”, với TARGET_IP là IP server của người dùng. Kết quả không mong đợi như sau:

Người dùng cũng có thể kiểm tra bằng cách khác, đó là thử nghiệm việc tồn tại vấn đề ở cổng 11211. Cụ thể, các quản trị có thể sử dụng netcat với câu lệnh: “echo –en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u TARGET_IP 11211”. Những máy chủ gặp vấn đề sẽ gửi về kết quả:

Đáng chú ý, trong thông tin mới phát ra hôm nay, 10/3/2018, CyStack cho biết, tại thời điểm ngày 8/3, CyStack Security đã thực hiện một thống kê nhỏ về các máy chủ đặt tại Việt Nam đang sử dụng dịch vụ Memcached có thể trở thành bot trong các chiến dịch tấn công DDoS dạng này. Thống kê cho thấy, tại Việt Nam, có 2529 máy chủ dùng memcached và mở cổng 11211 public; và có 1.482 máy chủ trong số đó (tương đương 58%) đang có nguy cơ trở thành bot trong mạng botnet của tin tặc.

Về cách khắc phục, CyStack cho hay, hiện tại Memcached đã đưa ra phiên bản mới 1.5.6 để khắc phục vấn đề này, trong đó ngừng kích hoạt cổng 11211 mặc định. “Trong trường hợp không cập nhật được Memcached do ảnh hưởng đến các dịch vụ bạn có thể sử dụng firewall để đóng cổng 11211 hoặc dừng kích hoạt cổng này trong cấu hình Memcache”, chuyên gia CyStack khuyên.

Thông tin từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT cho hay, theo thống kê của trang securelist.com được công bố hồi tháng 1/2018, với khoảng 637.400 máy tính bị kiểm soát nằm trong mạng máy tính ma (botnet), Việt Nam xếp ở vị trí thứ 4 trong Top 10 quốc gia bị kiểm soát bởi mạng máy tính ma, chỉ xếp sau Ấn Độ, Trung Quốc, Iran; danh sách này còn có Nga, Thổ Nhĩ Kỳ, Brazil, Thailand, Indonesia và Mexico. Cũng theo VNCERT, trong quý IV/2017, Việt Nam đứng thứ 5 trong Top 10 quốc gia bị tấn công DDoS (tấn công từ chối dịch vụ phân tán) nhiều nhất.

M.T

Tương tác trực tiếp với ICTnews trên Facebook

Xuất hiện những cuộc tấn công DDoS mới chiếm băng thông lên tới 400 Gb
ICTnews - Chia sẻ tại chương trình diễn tập APCERT Drill 2017, Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng cho biết, đã xuất hiện những cuộc tấn công...
Mã độc botnet vẫn "rình rập" nhiều máy tính tại Việt Nam
ICTnews - Theo thống kê từ Cục An toàn thông tin, vẫn còn nhiều IP Việt Nam nằm trong mạng botnet quốc tế.
Việt Nam nằm trong 10 quốc gia bị tấn công DDoS nhiều nhất quý 4
ICTnews - Việt Nam nằm trong nhóm 10 quốc gia bị tấn công nhiều nhất toàn cầu trong quý 4/2017, tăng mạnh so với quý trước đó, theo Kaspersky...

Video đang được xem nhiều

  • Chia sẻ bài viết CyStack: Hơn 1.400 máy chủ sử dụng Memcached ở Việt Nam có nguy cơ bị biến thành botnet lên Linkhay
  • Giúp ictnews sửa lỗi

Bài viết chưa có bình luận nào.

lên đầu trang