Brasileiro descobre falha que permite DDoS extremo

Nosso fundador e CTO, Maurício Corrêa, reportou falha de segurança que poderia desestabilizar links de internet no mundo inteiro; a descoberta entrou no catálogo global de vulnerabilidades

São Leopoldo, Rio Grande do Sul, 11 de junho de 2018. Naquele dia um dos WAFs (Web Application Firewall) desenvolvidos e monitorados pelo SOC (Security Operation Center) da XLabs detectou um padrão anormal de tráfego na rede que chamou a atenção.

Os dados mostravam que havia um ataque DDoS em andamento, vindo da porta 111 de vários servidores, todos de outros países. “Decidimos então abrir um servidor com a porta 111 exposta na Internet, com as mesmas características daqueles que estavam nos atacando e ficamos monitorando esse servidor durante semanas. Acabamos descobrindo que ele estava recebendo requisições para gerar ataques”, explicou Maurício Corrêa, nosso fundador e CTO. Ele então resolveu analisar mais de perto esse evento e conseguiu reproduzir o ataque em laboratório.
“Ao analisar no Shodan os servidores expostos, confirmou-se a extensão do problema”, disse Maurício. O Shodan é um mecanismo que permite ao usuário encontrar tipos específicos de computadores conectados à Internet e no dia dessa descoberta e indicava a existência de quase 2,6 milhões de servidores rodando o RPCBIND na Internet.

O RPCBIND é o software que fornece aos programas-clientes a informação de que eles precisam sobre os programas servidores disponíveis numa rede. Ele roda na porta 111 e responde com endereços universais dos programas servidores, para que os programas clientes possam requisitar dados por meio de chamadas de procedimento remotas (RPCs). Esses endereços são formados pelo conjunto IP do servidor mais porta. Desde seu lançamento, o RPCBIND recebe atualizações que cobrem várias falhas, entre elas as de segurança. Esta, no entanto, é a mais grave descoberta até agora.

Utilização da plataforma Shodan em busca de vulnerabilidades

O problema descoberto por Maurício é pior do que o Memcrashed, detectado em fevereiro do mesmo ano. Nesse tipo de ataque distribuído de negação de serviço (DDoS), existe uma amplificação do tráfego com o uso do memcached, um serviço que não exige autenticação, mas que andou muito exposto na internet por administradores de sistema inexperientes. O serviço roda na porta UDP 11211 e sua exploração por cibercriminosos já gerou tráfego de 260GB segundo medições da empresa Cloudflare.

Depois de elaborar a POC (prova de conceito), Maurício informou o problema a área de segurança da Oracle, já que o RPCBIND é uma solução originária da Sun, que foi adquirida pela empresa em 2010. Ele enviou as informações para que os especialistas da empresa pudessem confirmar e avaliar o problema. A confirmação chegou por email (veja imagem abaixo), com o anúncio da data de publicação do patch que ocorreu em outubro/18.


A vulnerabilidade entrou no catálogo geral e ganhou o código CVE-2018-3172. CVE (Common Vulnerabilities and Exposures ) é uma lista global de falhas de segurança catalogadas.