Pakar keamanan dari beberapa perusahaan keamanan (Cloudflare, Arbor Networks dan Qihoo 360) telah melaporkan bahwa pelaku kejahatan siber telah mulai menyalahgunakan protokol memcached untuk memperkuat serangan Distributed Denial of Service (DDoS), biasa disebut memcached DDoS attacks. Tingkat bahaya dari serangan ini adalah critical, sehingga mitigasi sebelum serangan terjadi sangatlah penting.
Memcached adalah sistem caching memori terdistribusi yang dirancang untuk mempercepat aplikasi web dinamis dengan mengurangi beban database, memcached bersifat free dan open source, klien berkomunikasi dengan server memcached via TCP atau UDP pada port 11211.
Laporan Detail dari Arbor Network
Arbor telah mengamati peningkatan yang signifikan dalam penyalahgunaan server memcached yang salah dikonfigurasi yang berada di jaringan Internet Data Center (IDC) sebagai reflektor/amplifier untuk meluncurkan serangan/amplifikasi volume UDP yang tinggi.
Karena server memcached biasanya memiliki akses bandwidth yang relatif besar dan berada pada jaringan IDC dengan uplink kecepatan tinggi, sifat memcached sangat cocok untuk disalahgunakan dalam simulasi DDoS dengan bandwidth tinggi/amplifikasi.
Memcached adalah sistem caching database in-memory yang biasanya digunakan di jaringan IDC, ‘cloud’, dan Infrastructure-as-a-Service (IaaS) untuk meningkatkan kinerja situs web berbasis database dan layanan yang dihadapi Internet lainnya. Karena sifatnya sebagai bentuk organic caching middleware dan kurangnya kontrol akses (kecuali yang secara khusus disusun dengan opsi otentikasi TLS yang jarang digunakan), memcached tidak boleh terkena internet publik.
Sayangnya, ada banyak penerapan memcached di seluruh dunia yang telah digunakan menggunakan konfigurasi default yang tidak aman, dan tanpa kebijakan akses jaringan yang sesuai untuk situasi yang diterapkan sebagai ACL transit (tACL) untuk melindungi server dari penyalahgunaan oleh penyerang.
Sangat penting bahwa operator jaringan melakukan tindakan proaktif untuk memastikan mereka siap mendeteksi, mengklasifikasi, mentransmisikan, dan mitigasi serangan ini, serta memastikan bahwa setiap instalasi memcached pada jaringan dan/atau jaringan pelanggan akhir mereka tidak dapat dimanfaatkan sebagai reflektor/amplifier.
Cara Mitigasi Serangan DDoS Memcached
Serangan DDoS memcached reflection/amplification dapat dikurangi dengan menerapkan Best Current Practices (BCP) standar industri seperti validasi alamat sumber/BCP38/BCP84; dengan memanfaatkan fungsi infrastruktur jaringan seperti flowspec, transit ACLs (tACLs), dan kebijakan kualitas layanan QoS yang selektif
Selain menggunakan metode diatas, mitigasi juga bisa dilakukan dengan memanfaatkan sistem mitigasi DDoS yang cerdas (IDMSes) seperti Arbor SP/TMS dan APS untuk mempertahankan target serangan ini, dan juga untuk secara selektif mencegah reflektor/amplifier yang dapat dieksploitasi karena disalahgunakan oleh penyerang.
Tindakan yang Perlu Dilakukan Operator Jaringan
Semua infrastruktur jaringan yang relevan, host/aplikasi/layanan, dan operasional Best Current Practices (BCPs) harus dilaksanakan oleh operator jaringan. Secara khusus, minimisasi kondisi sangat dianjurkan sebagai prinsip operasional umum untuk meningkatkan ketahanan dalam menghadapi serangan.
Kebijakan akses jaringan yang sesuai dengan situasi harus dilaksanakan melalui jalur transit arus transit ACL (tACL) di Internet Express (IDC) untuk memblokir lalu lintas jaringan yang tidak sah yang ditujukan untuk UDP/11211 dan TCP/11211 untuk memasukkan IDC.
Operator jaringan harus mengekspor telemetri flow (misalnya NetFlow, IPFIX, s/Flow, cflowd/jflow, Netstream, et al.) Dari mulai peering/transit/agregasi pelanggan dan jalur distribusi data Internet (IDC) ke Arbor SP, yang menyediakan kemampuan untuk mendeteksi, mengklasifikasi, dan traceback serangan DDoS lalu lintas.
Lalu lintas yang berasal dari UDP/11211 dapat dibatasi dengan aman saat peering/transit/ penerapan kebijakan QoS yang sesuai untuk situasi yang ditempatkan di ujung route. Sebagai alternatif, ACL transit (tACL) dapat digunakan di saat pengintaian, tepi agregasi pelanggan, dan tepi distribusi gateway data Internet (IDC) untuk memblokir lalu lintas jaringan yang bersumber dari UDP/11211. Dalam kedua kasus tersebut, maintenance harus dilakukan untuk menghindari pemblokiran berlebihan yang tidak perlu.
Kesimpulan dari Mitigasi Serangan DDoS Memcached Amplification
Jika Anda seorang Operator, update atau terapkan Port Filtering pada exploitable port. Tambahkan port TCP/UDP 11211.
Jika Anda adalah perusahaan, tanyakan kepada upstream ISP Anda apakah mereka menerapkan Port Filtering pada exploitable port dan lihat peraturan firewall Anda untuk menambahkannya ke jaringan Anda. Keamanan berlapis berarti diperlukan, sehingga perlu untuk meminta ISP Anda melakukan bagian mereka saat Anda melakukan bagian Anda.
i3 merupakan authorized partner EC-Council yang menyediakan berbagai jenis kelas training dan sertifikasi di bidang keamanan (security), mulai dari tingkat fundamental sampai tingkat advanced.
i3 juga menyediakan security services, seperti Hardening, Vulnerability Assessment, Penetration Testing, Incident Handling, Security Operation Center, dan lain-lain.
Untuk kebutuhan keamanan data perusahaan Anda, Anda bisa dapat melihat informasi selengkapnya melalui solusi cyber security kami, atau kontak langsung tim sales kami untuk info lebih lanjut.