Les serveurs Memcached sont à la Une ces derniers temps notemment car ils sont devenus la nouvelle trouvaille des cybercriminels amateurs d’attaques DDOS.
Le botnet MIRAI avait défrayé la chronique avec une attaque DDOS atteignant 1Tbps grâce aux objets connectés insécurisés, mais aujourd’hui cela est du passé. Le site Github (OVH et d’autres aussi) a survécu à une attaque DDOS atteignant les 1.35 Tbps. Les serveurs Memcached utilisant le protocole UDP ont servi aux attaquants à amplifier leur attaque.
Qu’est-ce-qu’un serveur Memcached?
Memcached est système distribué de mémoire caché. Il est destiné à accélérer la vitesse des applications dynamiques (utilisant des bases de données) en sauvegardant des données dans la mémoire RAM afin de réduire les appels au serveur de base de données. Memcached est libre et open-source.
Memcached est souvent déployé en interne. Toutefois, il arrive que certains administrateurs le déploie à travers internet, surtout quand ils veulent exercer un contrôle sur les clients qui se connectent sur leurs plateformes. Malheureusement, ce choix laissent les serveurs Memcached vulnérables à l’inspection, l’analyse et la modification de données.
Les versions inférieures à 1.5.6 étaient vulnérables à une attaque par amplification pour les serveurs Memcached utilisant le protocole UDP.
Comment sécuriser Memcached sur Ubuntu et Debian
Pour les serveurs Memcached tournant sous Ubuntu ou Debian, il éditer le ficier /etc/memcached.conf
sudo nano /etc/memcached.conf
Par défaut, Ubuntu et Debian font écouter le serveur Memcached sur l’interface locale 127.0.0.1. Ce genre de configuration n’est pas vulnérable aux attaques d’amplification. Vérifiez que l’option -l est bien configuré comme suit.
/etc/memcached.conf
-l 127.0.0.1
Si vous devriez modifier l’interface d’écoute du serveur, il serait judicieux de désactivez le protocole UDP qui permet à un attaquant d’utiliser votre serveur Memcached pour amplifier une attaque DDOS.
. . .
-U 0
Il suffit ensuite de redémarrer le service Memcached
sudo service memcached restart