check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

멤캐시드 DDoS 공격 완화시키기 위한 '킬 스위치' 공개

길민권 기자 mkgil@dailysecu.com 2018년 03월 13일 화요일

code-1689066_640.jpg
해외 보안 연구원들이 기업들의 서버를 취약한 멤캐시드(Memcached) 서버를 이용한 대규모 DDoS 공격으로부터 보호할 수 있도록 도와주는 킬 스위치를 발견했다.

최근 실행 된 전례없는 증폭율 5만의 대규모 멤캐시드 반사 DDoS 공격은 역대 최대 규모의 DDoS 공격들 중 하나로 기록 되었다.

최근 멤캐시드 증폭 공격용 PoC 익스플로잇 코드를 공개해, 해킹 초보들도 쉽게 대규모 사이버 공격을 실행할 수 있게 되어 각별한 주의가 요구된다.

이러한 여러 번의 경고에도 불구하고 아직까지 인터넷에서 접근할 수 있는 UDP 지원이 활성화 된 취약한 멤캐시드 서버들이 1만2천대 이상이나 된다. 이는 추후 다른 사이버 공격에 악용될 수 있다.

하지만 DDoS 피해자들이 공격중인 멤캐시드 서버에 간단한 명령어("shutdown\r\n" 또는 "flush_all\r\n" )를 반복적으로 되돌려 보내 증폭을 공격을 막는 기술을 연구원들이 발견했다.

flush_all 명령어는 멤캐시드 서버를 재시작하지 않고도 단순히 캐시에 저장 된 내용물(모든 키 및 해당 값들)을 흘려 보낸다.

이 회사는 킬 스위치를 실제로 공격 중인 멤캐시드 서버에서 테스트한 결과 100% 효과가 있었으며 NSA에 이를 공개했다고 밝혔다.

이를 바탕으로 한 연구원은 간단한 DDoS 완화 툴을 만들어 공개했다. 이 툴의 이름은 'Memfixed'다. 취약한 멤캐시드 서버로 flush나 shutdown 명령어를 보내는 역할을 한다.

이는 파이썬으로 제작 되었으며, 쇼단(Shodan) API를 이용해 shutdown/flush 명령어를 사용할 취약한 멤캐시드 서버 리스트를 자동으로 얻어낸다.

또한 연구원들은 해당 멤캐시드 취약점 (CVE-2018-1000115)이 처음 보고된 것보다 훨씬 광범위하며 단순히 DDoS 공격에 이용되는 것 이상으로 악용될 수 있다고 밝혔다.

기술적 세부사항은 밝히지 않았지만, 연구원들은 원격의 공격자들이 해당 멤캐시드 취약점을 악용할 경우 단순한 디버그 명령으로 취약한 멤캐시드 서버들에서 데이터를 훔치거나 수정할 수 있다고 밝혔다.

동적 데이터베이스 기반 웹사이트는 성능을 향상시키기 위해 멤캐시드 응용 프로그램을 사용한다.

멤캐시드가 로그인이나 패스워드 없이도 사용될 수 있도록 설계 되었기 때문에, 공격자들은 어떠한 인증 없이도 원격으로 로컬 네트워크나 호스트로부터 캐싱 된 중요 사용자 데이터를 훔칠 수 있게 된다.

이 데이터에는 기밀 데이터베이스 기록, 이메일, 웹사이트 고객 정보, API 데이터, Hadoop 정보 등이 포함될 수 있다.

연구원들은 “간단한 디버그 명령어를 사용해, 해커들은 데이터에 키를 공개하고 소유자의 데이터를 또 다른 곳에서 받아올 수 있게 된다. 또 멤캐시드 소유자 모르게 데이터를 악의적으로 수정 후 이를 캐시에 다시 주입할 수 있다”고 밝혔다.

이스트시큐리티 측은 "증폭/반사 DDoS 공격을 막고자 하는 서버 관리자들은 UDP 프로토콜을 디폴트로 비활성화하는 최신 멤캐시드 1.5.6버전을 설치하기를 권고한다"고 강조했다.


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록