Ürettikleri trafik bakımından rekor kıran, yanlış konfigüre edilmiş Memcached sunucularını arttırma/yansıtma için kullanan iki DDoS saldırısı, sırası ile GitHub’a ve ismi açıklanmayan ABD merkezli bir şirkete 1,35 Tbps ve 1,7 Tbps boyutlarında gereksiz trafik üretti. Her ne kadar arttırma/yansıtma (amplification/reflection) DDoS saldırıları siber güvenlik dünyası için yeni değilse de yanlış konfigüre edilmiş Memcached sunucularının 51.200 kata kadar arttırma yapması nedeni ile üretilen trafik korkunç derecede büyük oldu.
Yakın zamanda yayınlanan haberlere göre durum daha kötüye gidiyor. Şimdi Memcached merkezli, ispatlanmış iki istismar (exploit) kodunun online olarak yayınlanması ile scipt kiddy olarak ifade edilen hacker dünyasının en alt katmanındaki kişiler bile büyük DDoS saldırıları başlatabilirler. Kodlardan biri C ile yazılmışken diğeri ise Python ile yazılmış. İlki yaklaşık olarak 17 bin muhtemelen savunmasız Memcached sunucularını açıklama kısmında listeleyerek bu sunucuları internette ifşa etmiş oldu. Diğeri ise Shodan arama motoru API’sini bu tür sunucuların listesini almak için kullanıyor ki bu durumda ikinci kod her zaman taze bir listeye ulaşabiliyor.
Memcached DDOS saldırısı nasıl oluyor?
Memcached yaygın bir şekilde kullanılan açık kaynak dağıtık bir cach sistemi. Sistem yüksek sayılarda açık bağlantılar ile çalışır ve TCP veya UDP port 11211 üzerinde koşturulur. Performansı arttırmak ve web uygulamalarını ölçeklemek için Memcached artırımı Twitter, GitHub, Reddit gibi bilinen birçok websitesi tarafından kullanılmaktadır.
Herhangi bir artırımlı DDoS saldırısında olduğu gibi saldırganlar kurbanların IP adreslerinden geliyormuş gibi küçük UDP taleplerini bu sunuculara gönderirler. Memcached sunucuların özelliğinden dolayı cevap talebe göre kat kat büyük olur. Cloudfare’in gözlemlerine göre 15 Baytlık bir talep 750 kilobaytlık bir cevaba bile tetikleyebilir. Bu arttırılmış cevaplar kurbanın websitesine doğru büyük miktarda gereksiz trafik oluşturur.
Memcached DDoS saldırısına maruz kaldığınızda ne olabilir?
Suiistimal edilmiş Memcached sunuclarının ürettiği yüksek miktardaki trafik bir websitesinin başa çıkabileceğinden çok daha fazladır. Bu nedenle bu web sitesi tarafından sağlanan servisler saldırının ölçeğine ve ısrarcılığına bağlı olarak dakikalarca hatta saatlerce kesilebilir.
Servis kesintisi bir şirketi birçok yönden etkileyebilir. Örneğin bir havayolu şirketi bu süre zarfında online bilet satışı yapamayacak ve birçok müşterinin rakip firmalara gitmesine sebep olacaktır. Bir dakika içerisinde satılan bilet sayısını düşünürseniz kaybedilen maddi zarar oldukça yıpratıcı olabilir. Maddi olarak ölçülmesi zor olan itibar kaybı gibi kayıplarda bonus olacaktır.
Risk altında olduğunuzu nasıl bilebilirsiniz?
Periyodik siber risk değerlendirmeleri bunu bilmeye yardımcı olabilir. Fakat risk değerlendirme servisinin risk altında olup olmadığınızı söyleyebilmek için doğru yerlere bakması gerekmektedir.
Bir firmanın DDoS saldırılarına karşı direnci çok önemlidir ve eğer bu direnç yeterli değil ise gerekli tedbirlerin alınması gerekir. NormShield Risk Skor Kartı (diğer birçok faktörün yanında) DDoS direncini ölçer ve bir harf notu verir. Böylece firmanın üst düzey yöneticileri (CEO, CTO, CISO) DDoS saldırılarına karşı hazırlıklı olma durumlarını rahatlıkla anlayabilirler. Araştırmalarımıza göre DDoS direncinden D veya F skoru almış bir firma, A veya B skoru almış bir başkasına göre Memcached-tabanlı saldırılar gibi büyük bir DDoS saldırılarına maruz kalma olasılığı daha yüksektir. NormShield Risk Skor Kartı kurumun iç ağına müdahale etmeyen tescilli metotları Censys, Shodan, vb. bilinen veri tabanlarından bilgileri toplar, analiz eder ve firmanızın DDoS saldırılarına karşı ne kadar hazırlıklı olduğunu hesaplar.
Bir DDoS saldırısının direk olarak bir kurbanı olmayabilirsiniz, ama varlıklarınız saldırganlar tarafından başkalarına saldırmak için silah olarak kullanılabilir. Eğer sunucularınızda bu tür yanlış kofigürasyonlardan haberdar değilseniz, kötü insanların kötü şeyler yapmasına istemeden yardım ediyor olabilirsiniz. Fakat, NormShield Skor Kart varlıklarınız (sunucularınız, alan adlarınız, IP adresleriniz, çalışan bilgileriniz, vb.) hakkında derin webte paylaşılan bilgileri izler ve şirketiniz bir saldırganın gördüğü gibi görür. Eğer herhangi bir sunucunuza ait bilgi, bu tür büyük DDoS saldırıları için kullanılabilecek yanlış konfigüre edilmiş sunucular listesinde paylaşılırsa NormShield Risk Skor Kart’ı sizi bu konuda uyarır. Yukarıda belirtildiği gibi bu tür listeler çoktan online olarak yayınlanmış durumda ve ancak nereye bakacağınızı bilirseniz bu bilgi bulunabilir. NormShield Risk Skor Kart’ı şirketinizin internet üzerindeki sayısal ayak izlerini analiz ederek “Hacktivist Shares” ve “Disclosed Information” modülleri ile bu tür paylaşımlar hakkında size ipucu verir.
“Acele giden ecele gider” sözü siber dünyada geçerli değildir. Çok geç olmadan siber riskinizin farkında olun. Şimdi harekete geçin ve risk skorunuzu buradan ücretsiz öğrenin.
* The Hacker News, “Memcached DDoS Exploit Code and List of 17,000 Vulnerable Servers Released,” Mar 2018, accessible at https://thehackernews.com/2018/03/memcached-ddos-exploit-code.html