Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보[CVE-2018-1000115] Memcached UDP Reflection DDoS
작성일 2018-03-09 조회 1773

개요

 

Github 사이트가 받은 처럼 최근 해외에서 Memcached 서버를 이용한 DRDoS 공격이 급증하고 있다. 이와 관련한 공격은 2017년 6월 30일 360 정보보안 부서 0Kee 팀에의해 발견되었고, POC 2017 컨퍼런스에서 해당 공격이 공개 되었다.

[그림1] Memcached 공격 뉴스

 

Memcached 서버는 부담을 줄이고 속도를 높이기 위해 서버에서 사용되는 데이터 캐시 시스템으로, 요청자가 작은 키 값을 제출하면 메모리에서 키 값에 해당하는 큰 값을 돌려주는 구조로 되어 있다. Memcached는 원래 보안이 완전한 내부 네트워크에서 사용되도록 개발되었기 때문에 포트에서의 인증이 필요 업는데, 일부 서버들이 공개 인터넷망에 연결되면서 이를 악용하는 공격자들이 등장함으로 DRDoS가 발생하게 되었다.

 

▶ CVSS Score
AV:N/AC:L/Au:N/C:N/I:N/A:P

 

▶ CVE 정보
CVE-2018-1000115

 

▶ 영향 받는 버전
Memcached memcashed 1.5.6 이전 버전

 

 

 

확인 내역

 

다음은 해당 공격과 관련된 공개된 POC 정보이다.

[그림2] 공개된 POC 정보

 

해당 공격을 이해하기 앞서 DRDoS 공격에 대한 개념을 살펴보면, DRDoS(Distributed Reflection Denial of Service)은 분산 반사 서비스 공격의 약자로, 디알도스, 디알디오에스 등으로 불린다. DDoS가 공격 에이전트(좀비)를 감염시켜 한 곳으로 대량의 트래픽을 집중시킨다면 DRDoS는 외부의 정상적인 서버들을 이용하여 공격을 수행한다. 그러므로 해커들이 자기 자신을 쉽게 숨길 수 있고, 공격력을 향상 시킬 수 있어 추적과 방어가 매우 어렵다. DRDoS가 DDoS와 다른 점은 ‘IP 스푸핑 사용’, ‘반사체(Reflector) 사용' 이다.

 

반사체(Reflector)는 DRDoS의 주요 공격 수단으로, 외부의 공격자와 타겟과는 아무런 상관이 없는 서버들이 사용되며 공격자는 반사체가 표적을 공격하게끔 유도하게 된다. 이 과정에서 IP 스푸핑이 사용된다. 

 

[그림3] DRDoS 공격 개념도

 

Attacker는 SYN 스푸핑 공격도구 등의 공격 도구를 이용하여 S공격 대상 IP 주소를 포함한 SYN 패킷을 서버들에 보낼 수 있다. SYN 패킷을 받은 서버들은 공격 대상 IP 주소로 SYN에 대한 응답 값을 보내게 되며 이 과정에서 대량의 응답을 공격 대상 시스템에서 받게 되면 서비스 거부가 발생하게 된다.

 

이번 Memcached UDP Reflection DDoS 공격 역시 위에서 설명한 DRDoS 공격의 하나로, 반사체(Reflector)로 Memcached 서버가 사용되었다. 공격자는 공격 대상 IP를 포함한 요청 패킷을 Memcached 서버에 보냈고, IP 스푸핑이 발생한지 모르는 Memcached 서버에서는 요청 패킷에 대한 응답 값을 공격 대상 시스템에 대량으로 보냄으로 서비스 거부가 발생했다.

[그림4] Memcached UDP Reflection DDoS 공격 개념도

 

다음은 실제 Memcached DDoS 공격이 일어났던 사항이다.

[그림5] 공격 패킷 내용(요청 패킷)

 

[그림6] 공격 패킷 내용(요청 패킷)

 

 

대응방안

1. 최신 버전으로 업데이트

해당 벤더사에서 발표한 보안 권고문을 참고하여 최신의 버전으로 업데이트 합니다.

https://github.com/memcached/memcached/wiki/ReleaseNotes156

 

2. 당사 Sniper 에서는 아래의 패턴으로 대응 가능하다.

[IPS 패턴블럭]

[4132] Memcached UDP Reflection DDoS
[4133] Memcached UDP Reflection DDoS.A
[4134] Memcached UDP Reflection DDoS.B

 

[UTM]

[805374462] Memcached UDP Reflection DDoS
[805374463] Memcached UDP Reflection DDoS.A
[805374464] Memcached UDP Reflection DDoS.B

 

참고

http://powerofcommunity.net/poc2017/shengbao.pdf
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
https://www.imperva.com/blog/2018/03/new-ddos-amplification-attack-vector-via-memcached-servers

 

첨부파일 첨부파일이 없습니다.
태그 Memcached  Reflection  CVE-2018-1000115  DDoS  DRDoS