Últimamente los ataques de denegación de servicio (DDoS por sus siglas en inglés) han crecido en popularidad y efectividad, poniendo en jaque la seguridad de Internet. Marzo comenzó con el ataque DDoS más potente de la historia: 1,35 terabits por segundo de tráfico dirigido a GitHub, la plataforma web de proyectos de desarrollo colaborativos. Sin embargo, tan sólo unos días más tarde, una nueva amenaza detectada y mitigada por Arbor Networks pulverizaba el record, registrando un pico de tráfico de 1,7 Tbps. A diferencia del ataque DDoS que sufrió Dyn a finales de 2016, estos recientes ataques de denegación utilizaron un método cada vez más popular entre los ciberdelincuentes que no requiere de botnets: aprovechar la vulnerabilidad de miles de servidores Memcached mal configurados expuestos en Internet para amplificar los ataques.

Ataques a golpe de récord

Memcached se ha convertido en el arma de moda entre los cibercriminales para perpetrar sus ataques DDoS. Se trata de un sistema de almacenamiento en caché de datos y objetos en la memoria destinado a agilizar las aplicaciones web, que reduce la carga de datos y aumenta la velocidad de acceso. En las últimas dos semanas, los ciberdelincuentes han intensificado sus esfuerzos para explotar una vulnerabilidad en el protocolo de Memcached con el fin de crear ataques de amplificación récord. Pero, ¿en qué consiste realmente esta vulnerabilidad?

Alrededor de 100.000 servidores de Memcached están expuestos en la red sin ninguna protección de autenticación. Esto quiere decir que un ciberdelincuente puede acceder a ellos y enviarles grandes volúmenes de datos con el fin de saturar los servidores y maximizar sus índices de respuesta. Por ello, los atacantes hacen uso de estos servidores no protegidos para amplificar los ataques contra un objetivo. Así pues, falsifican la dirección IP de su víctima y envían múltiples paquetes de datos a servidores Memcached diseñados para ofrecer una respuesta mucho mayor. El resultado: el sistema responde devolviendo miles de veces los datos de las solicitudes a la víctima. Con grandes cantidades de datos enviados por segundo – se calcula que en torno a 10 paquetes de datos cada segundo – el servidor Memcached amplifica considerablemente el volumen de datos que pueden enviarse contra un objetivo. Por eso, si el sistema carece de un filtro adecuado que permita una gestión eficaz de la red, la enorme oleada de datos puede ser más que suficiente para dejar fuera de servicio a algunos proveedores de Internet.

Al contrario de otras amenazas DDoS como la que atacó Dyn, la ejecución de los ataques de denegación de Memcached es relativamente sencilla, ya que no se necesita una botnet de cientos de dispositivos infectados con malware para generar la cantidad de tráfico necesaria que pueda paralizar un sistema o red. Esta facilidad para llevar a cabo este tipo de ataques, unido a la existencia de miles de servidores Memcached vulnerables disponibles en Internet, ha convertido esta amenaza en uno de los principales vectores de ataque del próximo año.

¿Cómo estar preparados para mitigar estos ataques?

Algunos expertos señalan que los ataques basados en Memcached continuarán aumentando e incluso podrían superar los dos terabits por segundo. Además, muchos atacantes que recurren a este tipo específico de ataque DDoS ya están comenzando a monetizar este tipo de amenazas. De esta forma, aprovechan estas vulnerabilidades para extorsionar a sus víctimas exigiéndoles un pago.

No obstante, la buena noticia es que se están desarrollando algunas medidas y herramientas de mitigación para prevenir y neutralizar estos ataques. Diferentes expertos en seguridad han revelado una técnica mediante la cual las víctimas de ataques DDoS pueden detener estos ataques mientras suceden. Esta práctica consiste en enviar ciertos comandos como “shutdown \ r \ n”, o “flush_all \ r \ n” a los servidores Memcached que están siendo atacados para desactivarlos y evitar la amplificación. Otra forma efectiva para prevenir este tipo de amenazas consiste en deshabilitar el protocolo de Memcached de cualquier servidor expuesto en la red.

Es evidente que la vulnerabilidad de los servidores Memcached será aprovechada por los ciberdelincuentes como uno de los vectores de ataque DDoS de moda en 2018. Por eso, además de las medidas que hemos comentado para evitar que Memcached permita un posible ataque a tu empresa, es fundamental contar un plan de detección y mitigación de ataques DDoS. Para ello, es recomendable revisar detalladamente las configuraciones de los routers y firewalls de manera que se detengan todas las IP que no sean válidas. Asimismo, conviene limitar el tráfico que llega des un host para evitar saturar los servidores. Este plan también debería incluir un estudio periódico de las conexiones TCP/UDP con el servidor para poder identificar patrones de ataque.

Por encima de todo, la recomendación principal consiste en monitorizar constantemente el tráfico de la red de tu empresa para evitar accesos no autorizados. Soluciones como Panda Adaptive Defense 360 proporcionan una visibilidad detallada de toda la actividad en todos los endpoints, un control absoluto de todos los procesos en ejecución y la reducción de la superficie de ataque. De esta manera, logramos que tu empresa esté preparada para hacer frente a cualquier tipo de ataque DDoS.