A Oracle acaba de publicar uma atualização de segurança para evitar que 2,3 milhões de servidores rodando o serviço RPCBIND sejam utilizados em ataques de DDoS amplificado. A falha que permite essa exploração foi descoberta pelo pesquisador brasileiro Maurício Corrêa, fundador da empresa gaúcha de segurança XLabs Security. Uma exploração dessa falha tem o potencial de causar grandes problemas na Internet, garante Maurício. “Uma prova de conceito (POC) feita em apenas um servidor da XLabs gerou um tráfego de 69 gigabits por segundo”, disse ele ao Cibersecurity. No dia dessa descoberta, o buscador Shodan indicava a existência de quase 2,6 milhões de servidores rodando o RPCBIND na Internet (veja imagem acima), A multiplicação desse exploit num parque de 2,6 milhões de servidores leva a uma conclusão assustadora.
O especialista “Boot Santos, Boot”, bicampeão regional dos torneios hackaflag organizados no Mind The Sec, acredita que a falha “dá um DDoS nervoso!”
O RPCBIND é o software que fornece aos programas-clientes a informação de que eles precisam sobre os programas servidores disponíveis numa rede. Ele roda na porta 111 e responde com endereços universais dos programas servidores, para que os programas clientes possam requisitar dados por meio de RPCs (chamadas de procedimento remotas). Esses endereços são formados pelo conjunto IP do servidor mais porta. Desde seu lançamento, o RPCBIND recebe atualizações que cobrem várias falhas, entre elas as de segurança. Esta, no entanto, é a mais grave descoberta até agora.
A descoberta da falha começou no dia 11 de Junho deste ano. Naquele dia, um dos WAFs (web application firewalls) instalado no SOC (security operations center) da XLabs detectou um padrão anormal de tráfego na rede que chamou a atenção de Maurício.
Os dados mostravam que havia um ataque DDoS em andamento, vindo da porta 111 de vários servidores, todos de outros países. “Decidimos então abrir um servidor com a porta 111 exposta na Internet, com as mesmas características daqueles que estavam nos atacando e ficamos monitorando esse servidor durante semanas. Acabamos descobrindo que ele estava recebendo requisições para gerar ataques”, explicou. Após análise mais profunda do assunto, foi possível reproduzir o ataque em laboratório. “Ao analisar no Shodan os servidores expostos, confirmou-se a extensão do problema”, acrescenta Maurício.
O problema descoberto por Maurício é pior do que o Memcrashed, detectado em fevereiro deste ano. Nesse tipo de ataque distribuído de negação de serviço (DDoS), existe uma amplificação do tráfego com o uso do memcached, um serviço que não exige autenticação, mas que andou muito exposto na internet por administradores de sistema inexperientes. O serviço roda na porta UDP 11211 e sua exploração por cibercriminosos já gerou tráfego de 260GB segundo medições da empresa Cloudflare.
Depois de elaborar a POC (prova de conceito), Maurício informou o problema a área de segurança da Oracle, já que o RPCBIND é uma solução originária da Sun, que foi adquirida pela empresa em 2010. Ele enviou as informações para que os especialistas da empresa pudessem confirmar e avaliar o problema. A confirmação chegou por email (veja imagem), com o anúncio da data de publicação do patch. Foi nesta terça-feira dia 16 de Outubro de 2018 às 17h, hora de Brasília, 13h em São Francisco, Califórnia.
A vulnerabilidade entrou no catálogo geral e ganhou o código CVE-2018-3172.
