NCSC waarschuwt voor misbruik publiek beschikbare memcached-systemen bij DDOS-aanvallen

Het NCSC is op de hoogte gebracht van recente nationale en internationale DDoS-aanvallen waarbij veelal misbruik is gemaakt van publiek beschikbare memcached-systemen [1].

Er staan ongeveer drieduizend publiek beschikbare memcached-systemen in Nederland. Het NCSC adviseert deze systemen van het internet af te schermen om misbruik te voorkomen.

Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit andere bronnen om websites sneller te maken, zoals databases en API. Het systeem bevat geen authenticatie en is niet ontwikkeld om publiek beschikbaar te zijn.

Er zijn scenario’s mogelijk waarbij er door het sturen van commando’s naar deze memcached-systemen veel dataverkeer bij het doelwit wordt gegenereerd. Deze aanvallen vallen binnen de categorie van amplification attacks, waarbij de aanvaller ogenschijnlijk een verzoek verstuurt namens het doelwit door het ip-adres te spoofen. Doordat de antwoorden groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op dat doelwit opzetten. Voor aanvallers is een publiek beschikbaar systeem met een zeer grote amplificatie-factor (vanaf 1000 keer), zoals een niet afgeschermd memcached-systeem,  een groot voordeel om aanvallen uit te voeren. De verwachting is dat aanvallers deze systemen zullen blijven inzetten voor het uitvoeren van DDoS-aanvallen.

Het NCSC adviseert beheerders van netwerken te verifiëren of er publieke memcached- of andere systemen aanwezig zijn in het netwerk die mogelijk kwetsbaar zijn voor misbruik in amplificatie-aanvallen en maatregelen te nemen om misbruik van deze systemen te voorkomen. Het gaat in de recente aanvallen om memcached-systemen die beschikbaar zijn op poort 11211. Het advies is om deze systemen van het internet af te schermen.

Meer informatie over wat u als organisatie kunt doen om u beter voor te bereiden op DDoS-aanvallen kunt u terugvinden in de factsheets Continuiteit van onlinediensten en Technische maatregelen voor de continuiteit van onlinediensten.

[1] https://www.memcached.org

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig