漏洞修復八個月後,仍有超過七萬台 memcached 伺服器面臨危險
當他們對所提交的三個漏洞進行測試時,他們發現只有 200 台需要身份驗證的伺服器部署了 10 月的補丁,其它的所有伺服器都可能通過 SASL 漏洞進行攻擊。 -- Lucian Constantin
編譯自: https://thenewstack.io/70000-memcached-servers-can-hacked-using-eight-month-old-flaws/
作者: Lucian Constantin
譯者: firmianay
在開源緩存軟體 memcached 修復了三個關鍵漏洞的八個月之後,仍有超過 70000 台未打補丁的緩存伺服器直接暴露在互聯網上。安全研究員警告說,黑客可能會在伺服器上執行惡意代碼或從其緩存中竊取潛在的敏感數據。
memcached[1] 是一個實現了高性能緩存服務的軟體包,用於在內存中存儲從資料庫和 API 調用中獲取的數據塊。這有助於提高動態 Web 應用程序的響應速度,使其更加適合大型網站和大數據項目。
雖然 memcached 不是資料庫的替代品,但它存儲在內存中的數據包括了來自資料庫查詢的用戶會話和其他敏感信息。因此,該伺服器在設計上並不能直接暴露在互聯網等不受信任的環境中,其最新的版本已經支持了基本身份驗證。
去年 10 月份,memcached 的開發者修復了由 思科 Talos 部門[2] 安全研究員發現並報告的三個遠程代碼執行漏洞(CVE-2016-8704[3]、CVE-2016-8705[4] 和 CVE-2016-8706[5])。所有這些漏洞都影響到了 memcached 用於存儲和檢索數據的二進位協議,其中一個漏洞出現在 Simple Authentication and Security Layer [6](SASL)的實現中。
在去年 12 月到今年 1 月期間,成隊的攻擊者從數萬個公開的資料庫中擦除數據,這包括 MongoDB、CouchDB、Hadoop 和 Elasticsearch 集群。在很多情況下,攻擊者勒索想要恢複數據的伺服器管理員,然而沒有任何證據表明他們的確對所刪除的數據進行了複製。
Talos 的研究人員認為, memcached 伺服器可能是下一個被攻擊的目標,特別是在幾個月前發現了漏洞之後。所以在二月份他們決定進行一系列的互聯網掃描來確定潛在的攻擊面。
掃描結果顯示,大約有 108000 個 memcached 伺服器直接暴露在互聯網上,其中只有 24000 個伺服器需要身份驗證。如此多的伺服器在沒有身份驗證的情況下可以公開訪問已經足夠糟糕,但是當他們對所提交的三個漏洞進行測試時,他們發現只有 200 台需要身份驗證的伺服器部署了 10 月的補丁,其它的所有伺服器都可能通過 SASL 漏洞進行攻擊。
總的來說,暴露於互聯網上的 memcached 伺服器有大約 80%,即 85000 個都沒有對 10 月份的三個關鍵漏洞進行安全修復。
由於補丁的採用率不佳,Talos 的研究人員決定對所有這些伺服器的 IP 地址進行 whois 查詢,並向其所有者發送電子郵件通知。
本月初,研究人員決定再次進行掃描。他們發現,雖然有 28500 台伺服器的 IP 地址與 2 月份時的地址不同,但仍然有 106000 台 memcached 伺服器暴露在網際網路上。
在這 106000 台伺服器中,有大約 70%,即 73400 台伺服器在 10 月份修復的三個漏洞的測試中仍然受到攻擊。超過 18000 個已識別的伺服器需要身份驗證,其中 99% 的伺服器仍然存在 SASL 漏洞。
即便是發送了成千上萬封電子郵件進行通知,補丁的採用率也僅僅提高了 10%。
Talos 研究人員在周一的博客[7]中表示:「這些漏洞的嚴重程度不能被低估。這些漏洞可能會影響到小型和大型企業在互聯網上部署的平台,隨著最近大量的蠕蟲利用漏洞進行攻擊,應該為全世界的伺服器管理員敲響警鐘。如果這些漏洞沒有修復,就可能被利用,對組織和業務造成嚴重的影響。」
這項工作的結論表明,許多網路應用程序的所有者在保護用戶數據方面做得不好。首先,大量的 Memcached 伺服器直接暴露在互聯網上,其中大多數都沒有使用身份驗證。即使沒有任何漏洞,這些伺服器上緩存的數據也存在著安全風險。
其次,即使提供了關鍵漏洞的補丁,許多伺服器管理員也不會及時地進行修復。
在這種情況下,看到 memcached 伺服器像 MongoDB 資料庫一樣被大規模攻擊也並不奇怪。
via: https://thenewstack.io/70000-memcached-servers-can-hacked-using-eight-month-old-flaws/
作者:Lucian Constantin[8] 譯者:firmianay 校對:wxy
本文由 LCTT 原創編譯,Linux中國 榮譽推出
[1]: memcached - https://memcached.org/
[2]: 思科 Talos 部門 - https://www.talosintelligence.com/
[3]: CVE-2016-8704 - https://www.talosintelligence.com/reports/TALOS-2016-0219/
[4]: CVE-2016-8705 - https://www.talosintelligence.com/reports/TALOS-2016-0220/
[5]: CVE-2016-8706 - https://www.talosintelligence.com/reports/TALOS-2016-0221/
[6]: Simple Authentication and Security Layer - https://tools.ietf.org/html/rfc4422
[7]: 博客 - http://blog.talosintelligence.com/2017/07/memcached-patch-failure.html
[8]: Lucian Constantin - https://thenewstack.io/author/lucian/
※熱烈祝賀!LCTT 第一位達成翻譯 500 篇成就的譯者 geekpi!
※Neo4j 圖資料庫基礎
※6 個學習 OpenStack 的新指南和教程
※Linus Torvalds 說:談論技術創新是愚蠢的,閉上嘴把事情做好
TAG:Linux技術 |
※Netcraft 4月份Web伺服器排名:Apache伺服器超4.5億;Nginx 有望再度超越微軟
※Netcraft 6月Web 伺服器排名:Nginx有望超越Microsoft,Apache持續走低
※ElasticSearch伺服器泄露 5700萬個人數據外泄
※Supermicro數百款伺服器產品驚現固件漏洞
※「Smominru」門羅幣挖礦病毒已感染50萬台Windows伺服器 目前仍無法被消滅
※AMD:7nm Zen2伺服器平台明年見 對手是Intel後年的10nm
※Intel下代伺服器Cascade Lake發貨:10nm Ice Lake 2020年見
※Serverless 2.0 重磅發布,無伺服器時代來臨
※利用Apache Struts2高危漏洞入侵伺服器,植入KoiMiner挖礦木馬,新手作者也能每天賺1個門羅幣
※AMD伺服器明年上7nm Zen 2:坐等Intel後年的10nm
※同一個伺服器多個Tomcat產生session頂替現象
※Netcraft 3月Web伺服器排名:微軟持續上漲
※利用xxe漏洞獲取ntlm-domain-hashes 從而攻陷伺服器
※centos下apache伺服器以及Tomcat的配置
※Facebook稱有數百萬Instagram用戶的密碼被意外地存儲在伺服器上
※OpenMandriva Lx 4.0 發布,Linux 桌面與伺服器發行版本
※十分鐘搭建私有 Jupyter Notebook 伺服器
※四兩撥千斤式的攻擊!如何應對Memcache伺服器漏洞所帶來的DDoS攻擊?
※Kubernetes嚴重漏洞致伺服器DoS攻擊
※DDoS攻擊告警!中國2.5萬Memcached伺服器暴露