Verschillende partijen, waaronder Nederlandse onderzoekers, werken samen om het aantal open memcached-servers op internet terug te dringen. Onderzoeker Victor Gevers zegt dat er inmiddels ruim 51.000 servers zijn gemeld.

Gevers meldt dat er daarvan inmiddels meer dan 49.000 zijn gefilterd, waardoor ze niet meer voor ddos-aanvallen zijn te misbruiken. De onderzoeker, die als voorzitter verbonden is aan de GDI Foundation, zegt tegen Tweakers dat beheerder in sommige gevallen ook een bevestiging sturen dat een kwetsbare server is dichtgezet. Volgens Gevers was het advies bij de melding om de server achter een firewall te zetten. De meest recente scans, afhankelijk van welke methode wordt gebruikt, wijzen erop dat er nog ongeveer zesduizend kwetsbare servers te benaderen zijn.

Gevers zegt: "Ik wil graag opmerken dat voornamelijk de kleine isp's en beheerclubs heel snel en rap reageren. Gelukkig kennen we al heel veel organisaties van eerdere meldingen die we in de afgelopen jaren hebben gedaan. En ander voordeel is dat de isp niet per se de memcached-server (van hun klant) hoeft te updaten met een nieuwe versie. Het filteren van het verkeer is in principe een prima stap om misbruik tegen te gaan." Het nadeel zou echter weer zijn dat het filteren niet altijd even consequent gebeurt. "We zien dit voornamelijk terug als we dezelfde scan vanaf verschillende locaties in de wereld draaien; dan komen er verschillende resultaten terug. Dit maakt het monitoren van de gerapporteerde items en het ontdekken van nieuwe kwetsbare systemen een uitdaging."

Bij het scannen naar kwetsbare servers wordt uit verschillende hoeken hulp geboden. "We zijn nog steeds ons bereik aan het uitbreiden. Er komen steeds meer mensen die ons vps'en en hulp met het scannen aanbieden. Hoe meer informatie van uit verschillende invalshoeken des te beter we een beeld krijgen hoe het er voor staat." Gevers en de vrijwilligers van de GDI Foundation zijn niet de enigen die eraan werken zo veel mogelijk memcached-servers te beveiligen. De onderzoeker zegt dat er ook andere partijen mee bezig zijn, zoals Shadowserver en AbuseHub.

Het zal nog een tijd duren voordat alle servers beveiligd zijn, aldus Geves. "Ik ben heel erg trots op de alle vrijwilligers die hier aan bijdragen. De race is nog niet gelopen omdat er nog genoeg open staat om een dreiging te zijn. De GDI Foundation zal niet stoppen totdat alle onveilige servers van het internet verdwenen zijn. Dus we zijn voorlopig de komende tijd nog wel even bezig." Het is niet de eerste keer dat Gevers en consorten in actie komen om kwetsbare servers te beveiligen. Dat gebeurde bijvoorbeeld vorig jaar nog, waarbij werd gezocht naar servers die kwetsbaar waren voor EternalBlue.

Verschillende organisaties waarschuwden onlangs voor open memcached-servers, die voor krachtige ddos aanvallen in te zetten zijn via zogemaamde amplification attacks. Een dergelijke aanval trof GitHubrecentelijk met 1,3Tbit/s aan verkeer. Memcached is opensourcesoftware die volgens de makers ingezet kan worden om webapplicaties te versnellen door databaseverzoeken te minimaliseren met behulp van caching.

Reacties mogelijk gemaakt door CComment