상세 컨텐츠

본문 제목

Memcached DDoS 공격을 완화시키기 위한 “킬 스위치” 공개 돼

국내외 보안동향

by 알약(Alyac) 2018. 3. 9. 15:20

본문

'Kill Switch' to Mitigate Memcached DDoS Attacks — Flush 'Em All


보안 연구원들이 기업들의 서버를 취약한 Memcached 서버를 이용한 대규모 DDoS 공격으로부터 보호할 수 있도록 도와주는 “킬 스위치”를 발견했습니다.


최근 실행 된 전례없는 증폭율 50,000의 대규모 Memcached 반사 DDoS 공격은 역대 최대 규모의 DDoS 공격들 중 하나로 기록 되었습니다.


게다가 어제 누군가 Memcached 증폭 공격용 PoC 익스플로잇 코드를 공개해, 해킹 초보들도 쉽게 대규모 사이버 공격을 실행할 수 있게 되었습니다.


이러한 여러 번의 경고에도 불구하고, 아직까지 인터넷에서 접근할 수 있는 UDP 지원이 활성화 된 취약한 Memcached 서버들이 12,000대 이상이나 됩니다. 이는 추후 다른 사이버 공격에 악용될 수 있습니다.


하지만, 좋은 소식은 DDoS 피해자들이 공격중인 Memcached 서버에 간단한 명령어("shutdown\r\n" 또는 "flush_all\r\n" )를 반복적으로 되돌려 보내 증폭을 공격을 막는 기술을 연구원들이 발견했습니다.


flush_all 명령어는 Memcached 서버를 재시작 하지 않고도 단순히 캐시에 저장 된 내용물(모든 키 및 해당 값들)을 흘려 보냅니다.


이 회사는 킬 스위치를 실제로 공격 중인 Memcached 서버에서 테스트한 결과 100% 효과가 있었으며, NSA에 이를 공개했다고 밝혔습니다.


이를 바탕으로 한 연구원은 간단한 DDoS 완화 툴을 만들어 공개했습니다. 이 툴의 이름은 Memfixed로, 취약한 Memcached 서버로 flush나 shutdown 명령어를 보내는 역할을 합니다.


이는 파이썬으로 제작 되었으며, Shodan API를 이용해 shutdown/flush 명령어를 사용할 취약한 Memcached 서버 리스트를 자동으로 얻어냅니다.



Memcached 서버들에서 중요 데이터 훔쳐 낼 수 있어



또한 연구원들은 해당 Memcached 취약점 (CVE-2018-1000115)이 처음 보고된 것보다 훨씬 광범위하며 단순히 DDoS 공격에 이용되는 것 이상으로 악용될 수 있다고 밝혔습니다.


기술적 세부사항은 밝히지 않았지만, 연구원들은 원격의 공격자들이 해당 Memcached 취약점을 악용할 경우 단순한 디버그 명령으로 취약한 Memcached 서버들에서 데이터를 훔치거나 수정할 수 있다고 밝혔습니다.


동적 데이터베이스 기반 웹사이트는 성능을 향상시키기 위해 Memcached 응용 프로그램을 사용합니다.


Memcached가 로그인이나 패스워드 없이도 사용될 수 있도록 설계 되었기 때문에, 공격자들은 어떠한 인증 없이도 원격으로 로컬 네트워크나 호스트로부터 캐싱 된 중요 사용자 데이터를 훔칠 수 있게 됩니다.


이 데이터에는 기밀 데이터베이스 기록, 이메일, 웹사이트 고객 정보, API 데이터, Hadoop 정보 등이 포함될 수 있습니다.


연구원들은 “간단한 디버그 명령어를 사용함으로써, 해커들은 데이터에 키를 공개하고 소유자의 데이터를 또 다른 곳에서 받아올 수 있게 됩니다. 게다가, Memcached 소유자 모르게 데이터를 악의적으로 수정 후 이를 캐시에 다시 주입할 수 있습니다.”고 밝혔습니다.


증폭/반사 DDoS 공격을 막고자 하는 서버 관리자들은 UDP 프로토콜을 디폴트로 비활성화하는 최신 Memcached 1.5.6버전을 설치하기를 강력히 권고 드립니다.




출처 :

https://thehackernews.com/2018/03/prevent-memcached-ddos.html



관련글 더보기

댓글 영역