Protocolos de Rede Vulneráveis

 

 

Oque são Protocolos de Rede?

 

Protocolos de rede são os conjuntos de normas que permitem duas ou mais máquinas conectadas à internet se comuniquem. Essas normas operam como uma linguagem universal, que pode ser interpretada por dispositivos (computadores, notebooks, celulares, ...) de qualquer fabricante, por meio de qualquer sistema operacional.

Eles são responsáveis por pegar os dados transmitidos pela rede e dividi-los em pequenos pedaços, que são chamados de pacotes. Cada pacote carrega em si informações de endereçamento de origem e destino. Os protocolos também são responsáveis pela sistematização das fases de estabelecimento, controle, tráfego e encerramento.

Porém algumas normas apresentam falhas que podem ser exploradas para fornecer ao atacante algum tipo de benefício.

 Abaixo você encontrará uma lista com alguns protocolos monitorados pela FURG, porque são vulneráveis e alguns links de estudo.

Memcached

Serviço:

Memcached

Descrição do serviço:

Memcached é um sistema de cache em memória distribuído de propósitos gerais.

É frequentemente utilizado para acelerar sites dinâmicos orientados a banco de dados, cacheando dados e objetos na memória RAM para reduzir o número de vezes que uma fonte de dados externa (como um banco de dados ou uma API) deve ser acessada.

Por padrão configurado na porta 11211 tanto TCP quanto UDP.

Vulnerabilidade:

Pode ser utilizado para ataques de negação de serviço, distribuído e com reflexão e amplificação. Exposição de informações sensíveis.

Descrição do ataque:

Ataques de amplificação: os invasores enviam uma solicitação de pacote baseada em UDP de pequeno tamanho ao servidor memcached. Os pacotes são falsificados para parecer como se fossem enviados do alvo pretendido do ataque DDoS. Em resposta, o servidor memcached responde enviando o alvo falsificado uma resposta massivamente desproporcional.

https://www.senki.org/memcached-on-port-11211-udp-tcp-being-exploited

https://minutodaseguranca.blog.br/12043-2/

https://www.security.unicamp.br/blog/24-amplificacao-udp/

https://bcp.nic.br/ddos

Verificação:

  • telnet [IP] 11211

Executar Telnet de algum computador fora da sua rede e executar um dos comandos abaixo para ver se o servidor está respondendo a consultas:

#stats

ou

#stats items

Solução:

  • Se o servidor precisa estar acessível remotamente na Internet, as portas usadas pelo sistema precisam ser tratadas no firewall ou filtradas.
  • Por padrão ele escuta em toda a interface disponível, deve-se alterar para limitar a uma interface específica como ' 127.0.0.1 '.
  • Caso o servidor suporte autenticação de controle de acesso ou recursos de criptografia, recomenda-se a utilização deles.
  • É recomendado logar os acessos solicitados, incluindo falhas de autenticação ou autorizações.

Referências:

https://pt.wikipedia.org/wiki/Memcached

https://memcached.org/