immagine-preview

Mar 5, 2018

Cosa c’è dietro il devastante attacco DDoS che ha colpito GitHub?

Settimana scorsa si è verificato un attacco che ha utilizzato una metodica nuova. Ripercorriamo quanto successo

Il 28 febbraio 2018, il popolare servizio di hosting per progetti software GitHub è stato colpito dal più grande attacco DDoS di sempre che ha raggiunto il picco a 1,35 Tbps.

Nei primi istanti successivi all’attacco si è pensato al coinvolgimento di una potente IoT botnet, ma ben presto si è arrivati ad una sconcertante conclusione, una nuova metodica di attacco che consente di ottenere volumi di traffico in grado di creare seri problemi a qualunque sito in rete.

Che cosa è successo

L’attacco DDoS da record ha abusato del  protocollo memcached per amplificare il volume di traffico. Procediamo per gradi è comincia a comprendere a cosa serve questo protocollo.

Memcached è un sistema di caching della memoria distribuita gratuito e open source ad alte prestazioni, il suo utilizzo consente di accelerare le applicazioni web dinamiche alleviando il carico di lavoro sul database sottostante.

I client comunicano con i server memcached sulla porta 11211 utilizzando i protocolli TCP o UDP.

I ricercatori delle aziende Cloudflare, Arbor Networks e della società di sicurezza cinese Qihoo 360 hanno osservato di recente diversi attacchi che abusando del sistema memcached per amplificare attacchi di DDoS.

I primi tentativi erano stati segnalati dagli esperti cinesi addirittura in novembre.

Ma che cosa si intende con il termine fattore di amplificazione ottenuto mediante un protocollo abusato in un attacco DDoS?

Tipicamente ciascun protocollo prevede che sia sottoposta una richiesta di una determinata dimensione ad una entità server che fornisce una risposta anche essa caratterizzata da una certa dimensione. Il rapporto tra le dimensioni delle risposta e quella della richiesta iniziale è definito fattore di amplificazione, quindi se a fronte di una richiesta lunga un byte si riceve per un dato protocollo una risposta composta da 100 byte avremo ottenuto un fattore di amplificazione 100.

Nel caso del protocollo memcached, secondo i ricercatori la tecnica di amplificazione potrebbe consentire agli aggressori di ottenere un fattore di amplificazione di 51.200, davvero devastante.

Gli esperti di Cloudflare hanno soprannominato questo tipo di attacco Memcrashed.

L’attacco Memcrashed

Lo sfruttamento di un server memcached per un attacco DDoS è estremamente semplice, l’attaccante invia una richiesta al server di destinazione sulla porta 11211 presentandosi con l’indirizzo IP della vittima (spoofing dell’indirizzo IP). In un attacco DDoS memcached a fronte di una richiesta inviata al server di pochi byte avremo una risposta indirizzata all’indirizzo della vittima di decine di migliaia di volte più grande.

Maggiore è il numero di richieste verso i server memcached, più grandi saranno i volumi di traffico verso la vittima, non solo, lo stesso traffico sarà amplificato dal protocollo stesso.

Il più grande attacco ad Akamai

Veniamo quindi all’attacco vero e proprio, il popolare sito Web Github è protetto dal servizio anti-DDoS fornito dalla società Akamai che ha confermato l’imponente entità dell’attacco che ha colpito il suo cliente.

“Alle 17:28 GMT del 28 febbraio, Akamai ha subito un attacco DDoS di 1,3 Tbps contro uno dei nostri clienti, una società di sviluppo software, che ha sfruttato una tecnica di riflessione memcached. Questo attacco è stato il più grande attacco mai registrato da Akamai, più del doppio rispetto agli attacchi del settembre 2016 lanciati dalla botnet Mirai e probabilmente il più grande attacco DDoS noto pubblicamente.” Si legge nell’analisi pubblicata da Akamai.

“A causa delle tecnica di riflessione memcached , è altamente probabile che questo attacco record non resterà il più grande per lungo tempo”.

 

Secondo GitHub, l’attacco era distribuito attraverso oltre un migliaio di diversi sistemi autonomi (ASN) ed ha coinvolto decine di migliaia di endpoint unici.

“Mercoledì 28 febbraio 2018 GitHub.com non era disponibile dalle 17:21 alle 17:26 UTC e non era disponibile in modo intermittente dalle 17:26 alle 17:30 UTC a causa di un attacco DDoS (distributed denial-of-service)”. recita il comunicato pubblicato da GitHub.

 

“Tra le 17:21 e le 17:30 UTC del 28 febbraio abbiamo identificato e mitigato un significativo attacco DDoS.

L’attacco è stato originato da oltre un migliaio di diversi sistemi autonomi (ASN) su decine di migliaia di endpoint unici. È stato un attacco di amplificazione che ha sfruttato la tecnica memcached che ha raggiunto un picco di 1,35Tbps con 126,9 milioni di pacchetti al secondo.”


 

Github ha indirizzato il traffico verso il servizio Akamai per mitigare l’attacco DDoS in corso.

 

“Dato l’aumento della larghezza di banda del traffico in entrata a oltre 100 Gbps verso una delle nostre strutture, è stata presa la decisione di dirottare il traffico verso i sistemi di Akamai, che potevano contribuire a fornire ulteriore capacità di mitigazione del volume di traffico.”

GitHub ha confermato che la prima parte dell’attacco ha raggiunto un picco di 1,35Tbps, mentre in una seconda parte si è raggiunto il picco di 400Gbps dopo le 18:00 UTC.

 

Github ha detto che prevede di espandere la sua rete di contenimento per mitigare i nuovi vettori di attacco.

Che cosa ci aspetta nel futuro

I ricercatori ritengono che attaccanti in natura possano ancora abusare dei server Memcached mal configurati in attacchi futuri, e sottolineano che molti di questi sono ancora esposti su Internet.

La scorsa settimana risultavano assegnati in rete almeno 5700 indirizzi IP unici associati a sistemi memcached vulnerabili.

La situazione dovrebbe sicuramente peggiorare se consideriamo che la totalità dei sistemi memcached esposta in rete secondo il motore di ricerca Shodan è di 88000 sistemi, la maggior parte dei quali negli USA, Cina e Francia.

 

Come difendersi

Cloudflare consiglia di disabilitare il supporto UDP a meno che non sia necessario e di isolare i server memcached da Internet. I provider di servizi Internet devono adoperarsi per risolvere i problemi noti con protocolli vulnerabili e impedire lo spoofing degli indirizzi IP.

Proprio mentre scrivo questo posto si cominciano ad avere notizie preoccupanti relative a gang che minacciano gestori di sistemi memcached chiedendo il pagamento di un riscatto.

Continueremo a monitorare l’evolversi degli eventi, certi che la situazione possa peggiorare se non si adottano misure contenitive quanto prima.

 

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter