Post sobre nosso fundador e CTO, Maurício Corrêa, reportou falha de segurança que poderia desestabilizar links de internet no mundo inteiro; a descoberta entrou no catálogo global de vulnerabilidades.
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
Brasileiro descobre falha que permite DDoS extremo
1. BRASILEIRO DESCOBRE
FALHA QUE PERMITE DDOS
EXTREMO
Nosso fundador e
CTO, Maurício
Corrêa, reportou
falha de segurança
que poderia
desestabilizar links
de internet no
mundo inteiro; a
descoberta entrou
no catálogo global
de
vulnerabilidades
Os dados mostravam que havia um ataque
DDoS em andamento, vindo da porta 111 de
vários servidores, todos de outros países.
“Decidimos então abrir um servidor com a
porta 111 exposta na Internet, com as mesmas
características daqueles que estavam nos
atacando e ficamos monitorando esse servidor
durante semanas. Acabamos descobrindo que
ele estava recebendo requisições para gerar
ataques”, explicou Maurício Corrêa, nosso
fundador e CTO.
SÃO LEOPOLDO, RIO GRANDE
DO SUL, 11 DE JUNHO DE 2018.
NAQUELE DIA UM DOS WAFS
(WEB APPLICATION FIREWALL)
DESENVOLVIDOS E
MONITORADOS PELO SOC
(SECURITY OPERATION
CENTER) DA XLABS DETECTOU
UM PADRÃO ANORMAL DE
TRÁFEGO NA REDE QUE
CHAMOU A ATENÇÃO.
2. Ao analisar no
Shodan os
servidores
expostos,
confirmou-se a
extensão do
problema
O RPCBIND é o software que
fornece aos programas-clientes a
informação de que eles precisam
sobre os programas servidores
disponíveis numa rede. Ele roda na
porta 111 e responde com
endereços universais dos
programas servidores, para que os
programas clientes possam
requisitar dados por meio de
chamadas de procedimento
remotas (RPCs). Esses endereços
são formados pelo conjunto IP do
servidor mais porta. Desde seu
lançamento, o RPCBIND recebe
atualizações que cobrem várias
falhas, entre elas as de segurança.
Esta, no entanto, é a mais grave
descoberta até agora.
ELE ENTÃO RESOLVEU ANALISAR
MAIS DE PERTO ESSE EVENTO E
CONSEGUIU REPRODUZIR O ATAQUE
EM LABORATÓRIO. O SHODAN É UM
MECANISMO QUE PERMITE AO
USUÁRIO ENCONTRAR TIPOS
ESPECÍFICOS DE COMPUTADORES
CONECTADOS À INTERNET E NO DIA
DESSA DESCOBERTA E INDICAVA A
EXISTÊNCIA DE QUASE 2, 6 MILHÕES
DE SERVIDORES RODANDO O
RPCBIND NA INTERNET.
3. O problema descoberto por Maurício é pior do que o Memcrashed, detectado
em fevereiro do mesmo ano. Nesse tipo de ataque distribuído de negação de
serviço (DDoS), existe uma amplificação do tráfego com o uso do
memcached, um serviço que não exige autenticação, mas que andou muito
exposto na internet por administradores de sistema inexperientes. O serviço
roda na porta UDP 11211 e sua exploração por cibercriminosos já gerou tráfego
de 260GB segundo medições da empresa Cloudflare.
Depois de elaborar a POC (prova de conceito), Maurício informou o problema a área
de segurança da Oracle, já que o RPCBIND é uma solução originária da Sun, que foi
adquirida pela empresa em 2010. Ele enviou as informações para que os
especialistas da empresa pudessem confirmar e avaliar o problema. A confirmação
chegou por email (veja imagem abaixo), com o anúncio da data de publicação do
patch que ocorreu em outubro/18.
4. A vulnerabilidade entrou no catálogo geral e
ganhou o código CVE-2018-3172. CVE (Common
Vulnerabilities and Exposures ) é uma lista global de
falhas de segurança catalogadas.