BERBAGI

Beberapa hari terakhir, terlihat sebuah peningkatan serangan yang memanfaatkan kerentanan pada protokol Memcached UDP port 11211. Serangan tersebut dijuluki sebagai ” Memcrashed DDoS” yang saat ini mencoba menyerang server-server yang berada di seluruh dunia. Wilayah terbesar yang terdeteksi memiliki kerentanan tersebut adalah Amerika Utara dan Eropa.

Mengenal Protokol Memcached

Memcached sendiri merupakan sistem penyimpanan dan pendistribusian sistem cache di dalam memori server (RAM) melalui protokol UDP/TCP port 11211. Memcached digunakan untuk meminimalisir pengambilan atau permintaan data yang sama pada database secara terus-menerus, sehingga dapat mempercepat pengaksesan sebuah situs web tanpa harus membebani sistem kerja database.

Pencapaian tingkat serangan

Serangan Memcrashed tercatat telah mencapai rekor tertinggi sebuah serangan dengan kategori DDoS attack. Serangan pertama terjadi pada hari Rabu 28 Februari 2018. Situs hosting kode GitHub terkena serangan denial of service (DDoS) sebesar 1,35 Tbps.

Selang beberapa hari tepatnya pada 5 maret 2018. Network monitoring company Arbor melaporkan adanya serangan DDoS sebesar 1,7 Tbps yang saat ini menjadi rekor tertinggi.

Cara kerja Memcrashed  DDoS Attack

Serangan Memcrashed  DDoS  bekerja dengan memanfaatkan kerentanan pada server memcached port 11211 untuk menggandakan setiap paket yang dikirimkan. berikut gambar simulasi serangan dan tahap-tahap yang dilakukan oleh penyerang untuk meluncurkan Memcrashed  DDoS Attack.

  1. Pada awalnya penyerang akan melakukan scanning vulnerability terlebih dahulu untuk mencari IP server yang memiliki kerentanan memcached port 11211 .
  2. IP server yang terdeteksi memiliki kerentanan pada Memcached port 11211 akan digunakan sebagai reflector untuk menggandakan setiap paket yang akan dikirimkan.
  3. Tahap berikutnya penyerang akan melakukan manipulasi IP target utama (IP spoofing) untuk mengirimkan paket request ke server yang terdeteksi memiliki kerentanan memcached port 11211.
  4. Hasil akhirnya server memcached yang dikirimkan paket request akan memberikan paket respon yang berpuluh-puluh kali lipat ke IP yang melakukan request tersebut (IP target utama).

Saat ini  telah dirilis 2 macam proof-of-concept (PoC) yang memungkinkan pengguna menjalankan script-kiddies untuk meluncurkan serangan DDoS dengan menggunakan reflection UDP port 11211.

PoC #1

Tools DDoS attack yang pertama yaitu program yang menggunakan script Python yang diberi nama Memcacrashed.py. Program tersebut menjalankan API Shodan search engine untuk mencari kerentanan pada Memcached servers.

PoC # 2

Program Memcrashed  DDoS yang kedua ditulis menggunakan bahasa pemrograman C yang di publish oleh situs Pastebin pada hari Senin. Pada halaman tersebut telah di lampirkan daftar IP milik server-server yang terdeteksi memiliki kerentanan Memcached UDP port 11211.

Penanganan

Dihimbau kepada pemilik server-server di seluruh dunia untuk segera melakukan pencegahan dan patching terhadap kerentanan pada protokol Memcached UDP port 11211. Karena saat ini proof-of-concept dari serangan Memcrashed DDoS sudah di publish seara online di internet. Dikhawatirkan serangan tersebut terus berkembang dan sewaktu-waktu dapat menyerang server-server anda.

Upaya pencegahan yang dapat dilakukan yaitu dengan membatasi penggunaan protokol UDP pada port 11211 di sisi firewall atau menonaktifkan dukungan UDP port 11211 jika tidak digunakan sama sekali.

Upaya pencegahan yang kedua yaitu melakukan pengecekan kerentanan protokol Memcached UDP port 11211 pada server-server yang sedang aktif digunakan. Cara mengecekannya yaitu dengan menjalankan command berikut:

$ echo -en “\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n” | nc -q1 -u 127.0.0.1 11211

STAT pid 21357

STAT uptime 41557034

STAT time 1519734962

Catatan:

Jika muncul status seperti komen warna merah diatas, itu menandakan terdeteksi adanya kerentanan protokol Memcached UDP port 11211 pada server.

References :

Memcrashed – Major amplification attacks from UDP port 11211

1,7 Tbps DDoS Attack – Memcached Refleksi UDP Mengatur Rekaman Baru

Menggunakan Memcached di PHP

Proof-of-Concept Code for Memcached DDoS Attacks Published Online

Tinggalkan komentar

Berikan komentar