Ένας μηχανισμός αντιμετώπισης είναι πλέον διαθέσιμος για όλα τα θύματα που δέχονται επίθεση DDoS, μέσω διακομιστών Memcached.
Η τεχνική που χρησιμοποιείται βασίζεται στην εντολή “flush_all” που στέλνει ένας υπολογιστής πίσω στους επιτιθέμενους διακομιστές. Το μέτρο προτάθηκε την περασμένη εβδομάδα από τον Dormando, έναν από τους προγραμματιστές Memcached. Οι συμβουλές του Dormando δεν έλαβαν την προσοχή που τους άξιζε έως χθες μετά από ένα δελτίο τύπου της εταιρείας ασφάλειας δικτύων Corero που αλλάζει τα πράγματα. Η εταιρεία ανακοίνωσε ότι ενσωμάτωσε αυτόν τον βασικό μηχανισμό και διαπίστωσε ότι είναι 100% αποτελεσματικός ενάντια σε μια τέτοιου είδους επίθεση. Οι επιχειρήσεις υπό την επίθεση DDoS από διακομιστές Memcached μπορούν θεωρητικά να δημιουργήσουν scripts που να υλοποιούν τις δύο εντολές “shutdown” και “flush_all” που συνιστά o Dormando.
Βέβαια, η ομάδα ανάπτυξης του Memcached έχει ήδη λάβει μέτρα για την αντιμετώπιση αυτού του ζητήματος ( CVE-2018-1000115 ). Στις 27 Φεβρουαρίου δημοσιοποίησαν την version Memcached v1.5.6 η οποία απενεργοποιεί το πρωτόκολλο UDP σαν προεπιλεγμένη ρύθμιση. Παρόλα αυτά αρκετοί διαχειριστές προτίμησαν να απενεργοποιήσουν τους servers αντί να τους ενημερώσουνε με την νέα έκδοση. Η Rapid7 αναφέρει πως οι Memcached διακομιστές με ανοιχτή την θύρα 11211, από 18.000 που ήταν αρχές Μαρτίου πλέον έχουν πέσεις στους 12.000. Σε αυτό βέβαια ευθύνονται και οι πάροχοι cloud υπηρεσιών οι οποίοι πήραν δραστικά μέτρα για να μην επιβαρύνονται οι υποδομές τους από τέτοιου είδους επιθέσεις.
Στο τέλος της αναφοράς της η Corero προειδοποιεί οργανισμούς και επιχειρήσεις να πάρουν τα απαραίτητα μέτρα καθώς όπως λέει η ίδια “Η συγκεκριμένη επίθεση DDoS είναι πιο επικίνδυνη από ότι φαίνεται αφού ο κακόβουλος χρήστης μπορεί να υποκλέψει ή να τροποποίηση ευαίσθητα δεδομένα στους διακομιστές.
