使用8個月前的漏洞，就能攻破 7 萬台 memcached 伺服器！

memcached開源緩存軟體中的三個嚴重安全漏洞得到修復至今已過去了8個月，但是直接暴露在互聯網上的70000多台緩存伺服器還是沒有打上補丁。安全研究人員警告，黑客有可能在它們上面執行惡意代碼，或者從系統緩存竊取可能敏感的數據。

memcached是一種軟體包，它實施了一種高性能緩存伺服器系統，用於將從資料庫和API調用獲得的數據存儲在內存中。這有助於加速動態Web應用，因而非常適用於大型網站和大數據項目。

雖然memcached並不是取代資料庫的技術，但是它存儲在內存中的數據可能包含用戶會話及來自資料庫查詢的其他敏感信息。正因為如此，這種伺服器並不是設計成直接暴露在像互聯網這些不可信的環境面前，儘管一些比較新的版本支持基本的身份驗證。

早在去年10月，memcached開發人員修復了三個遠程代碼執行安全漏洞（CVE-2016-8704、CVE-2016-8705和CVE-2016-8706），這些漏洞是由思科系統公司Talos部門的安全研究人員發現並報告的。所有這些漏洞影響memcached用來存儲和檢索數據的二進位協議，其中一個漏洞存在於簡單驗證和安全層（SASL）實現方法中。

去年底今年初，幾伙攻擊者刪光了成千上萬台公開暴露的資料庫裡面的數據，包括MongoDB、CouchDB、Hadoop和Elasticsearch集群。在許多情況下，他們向伺服器管理員索要贖金以拿回數據，但是沒有證明表明他們實際上得逞。

Talos研究人員認為，memcached伺服器可能是下一個目標，尤其是鑒於他們在早幾個月前發現的漏洞，於是今年2月他們決定對互聯網作一系列掃描，確定潛在的攻擊面大小。

掃描結果顯示，大約108000台memcached伺服器直接暴露在互聯網上，其中只有24000台需要驗證身份。那麼多台伺服器不用驗證身份就任由公眾訪問，這一點本身夠糟糕的了；但是等研究人員還測試了有無存在那三個安全漏洞後，他們發現，只有200台需要驗證身份的伺服器確實打上了去年10月發布的補丁。其餘所有伺服器都很容易被人通過SASL安全漏洞來攻破。

總的來說，暴露在互聯網上的所有memcached伺服器中85000台（佔總數的80%左右）缺少去年10月宣布的那三個嚴重漏洞的安全補丁。

鑒於補丁採用率很低的嚴峻形勢，Talos研究人員決定對所有那些伺服器的IP地址運行whois查詢，然後向伺服器擁有者發去通知郵件。

本月早些時候，安全人員決定重新作一番掃描。他們發現，還是有106000台memcached伺服器暴露在互聯網上，不過28500台使用了與2月發現的IP地址不同的IP地址。

在這106000台伺服器中，73400台（佔總數的70%）繼續很容易受到去年10月就打上補丁的三個漏洞的攻擊。已識別的伺服器中18000多台需要驗證身份，其中99%繼續存在SASL安全漏洞。

即使在發送了成千上萬封通知郵件後，補丁採用率在6個月內也僅僅提高了10%。

周一Talos研究人員在一篇博文（http://blog.talosintelligence.com/2017/07/memcached-patch-failure.html）中稱：「這些類型的安全漏洞的嚴重性不可低估。這些安全漏洞可能會影響大小企業部署在互聯網上的一種主流平台。由於最近一連串的蠕蟲攻擊鑽安全漏洞的空子，這應該向全球各地的管理員敲響了警鐘。要是繼續採取不聞不問的態度，不法分子就會利用這些安全漏洞，肆虐全球各地的組織，對企業界帶來嚴重的影響。」

這番掃描得出的結論表明，許多Web應用系統的所有者在保護用戶的數據方面差強人意。首先，數量多得驚人的memcached伺服器直接暴露在互聯網上，其中大多數沒有使用身份驗證機制。就算不存在任何安全漏洞，緩存在這些伺服器上的數據也岌岌可危。

其次，即使可能被用來全面危及伺服器的嚴重安全漏洞已有了相應的補丁，許多伺服器管理員還是沒有及時地打上安全補丁。

在這種情形下，看到針對memcached伺服器發動的大規模攻擊（比如矛頭直指MongoDB資料庫的攻擊）也就不足為奇了。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！