CCERT月報：Memcache反射放大攻擊或影響主幹網路

近期，一種名為Memcache反射放大攻擊的拒絕服務攻擊在網路攻擊流量佔比中有增加的趨勢。這種攻擊利用了Memcache服務程序的漏洞，通過發送偽造源發地址的數據包到Memcache伺服器的UDP 11211埠來進行反射放大攻擊。Memcache是一個高性能的分散式內存對象緩存系統，由LiveJournal的Brad Fitzpatrick開發。Memcache服務會在內存里維護一個統一且巨大的Hash表，它能夠用來存儲各種格式的數據，包括圖像、視頻、文件以及資料庫檢索的結果等。簡單的說就是將數據調用到內存中，然後從內存中讀取，從而大大提高讀取速度。目前該服務被大量運用於各種雲服務中，用於對網站系統進行加速。Memcache協議支持Tcp和Upd數據，默認的Udp服務埠是11211，早期版本的Memcache服務無需驗證就可對外提供服務，由於內部實現機制的錯誤，向該服務發送一個很小的查詢包有可能返回巨大的查詢結果，如果惡意的攻擊者偽造源發地址（被攻擊者的IP）向網路上的Memcache發送查詢數據包，就可以造成反射放大攻擊，得益於Memcache服務的高性能，這類反射放大攻擊能將攻擊流量放大到原始查詢流量的千倍以上。因放大的倍數非常大，這種簡單易行的放大攻擊正在被越來越多的人利用，需要引起廣大Memcache管理員的注意。

安全投訴事件統計

安全投訴事件整體數量呈下降趨勢，自網路安全法實施以來，由於存在法律上的風險，在眾測平台上被公布的各類網站漏洞和攻擊數量也呈大幅下降趨勢。

病毒與木馬

近期沒有新增影響特別廣泛的蠕蟲病毒。

近期新增嚴重漏洞評述

1、微軟2018年2月的安全公告修補的漏洞數量較少只有54個，其中14個為嚴重等級漏洞、38個是重要等級漏洞、2個是一般等級漏洞。而3月的安全公告修補的漏洞數量則大幅增多，達到228個。這些漏洞影響到Windows系統、Office辦公軟體、Outlook、IE瀏覽器、Edge瀏覽器、腳本引擎、應用程序容器等。利用上述這些漏洞，攻擊者可以遠程執行任意代碼，許可權提升、繞過許可權限制獲取敏感信息或是拒絕服務攻擊等。用戶應該儘快使用Windows自帶的Update功能進行更新。

2、Adobe公司在2月及3月的例行修補中發布了多個安全公告，其中包括APSA18-02和APSA18-05兩個，前者用於更新Adobe Acrobat/Reader軟體，後者用於更新Flash Player軟體。這兩個更新修補了相關產品中的多個安全漏洞，其中包括兩個0day漏洞，分別是Adobe Acrobat/Reader中存在遠程溢出漏洞（CVE-2018-4901）和Flash player零日攻擊漏洞（CVE-2018-4878）。互聯網上已經檢測到多起針對上述兩個漏洞的攻擊，用戶應該及時更新Adobe Acrobat/Reader和Flash player到最新版本，並謹慎打開來歷不明的電子郵件或網頁鏈接。如想獲取更多關於這兩個軟體的漏洞信息請訪問：https://helpx.adobe.com/security.html

3、Apache Tomcat 7、8、9版本中存在安全繞過漏洞（CVE-2018-1304、CVE-2018-1305），攻擊者可以利用上述漏洞繞過某些安全限制來執行未經授權的操作。Tomcat 里的Servlet可以分層並設置安全規則。通常安全規則會被設置在第一層Servlet中，其下層Servlet可以直接繼承上層Servlet的安全規則。但是Apache Tomcat 在解析Servlet安全規則時存在錯誤，安全規則只在該Servlet載入後才被應用。攻擊者如果通過URL直接訪問下層的Servlet，由於第一級的Servlet並未載入，安全規則並未生效原本應該被繼承的安全規則就會被忽略掉，這將導致惡意的擊者越權訪問伺服器上的敏感信息。使用了Tomcat的系統管理員應該儘快確認自己使用的版本是否受漏洞影響並及時修正漏洞。相關的信息請參見：https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@

4、Exim是一個MTA（Mail Transfer Agent，郵件傳輸代理）伺服器軟體，是基於GPL協議開發的一款開源軟體，主要用來搭建郵件伺服器。Exim 4.90.1之前版本中SMTP偵聽器"base64d()"解碼函數在發送Handcrafted消息時存在緩衝區溢出漏洞（CVE-2018-6789），由於Exim未能充分檢查用戶提供的數據。攻擊者可利用該漏洞繞過了ASLR、PIE、NX等系統通用系統緩解措施，在受影響的應用程序上下文中執行任意代碼，若攻擊嘗試失敗仍可導致拒絕服務。如果您的郵件伺服器中使用相關程序，應該儘快進行升級。官方的升級信息如下：https://www.exim.org/mirmon/ftp_mirrors.html

安全提示

由於Memcache反射放大攻擊的簡便和有效性，未來一段時間裡類似的攻擊流量佔比會有增加趨勢，並且這類攻擊的流量可以達到T級別，可能會對主幹網路的流量帶來影響。由於Memcache加速服務多數是雲內部的服務，它的11211埠並不需要向雲外部的用戶提供，因此建議可以從三個方面來對相關攻擊進行限制：

1、從網路邊界處禁封UDP 11211埠（校園網邊界或是數據中心邊界）

2、升級Memcache服務到最新版或者將Memcache服務埠綁定到127.0.0.1而不是外網地址。（可以通過掃描服務的手段來確定開放了外網服務的Memcache IP）。

3、需要注意的是除了雲服務中自己安裝的Memcache服務，一些其他的網路服務程序（如Zimbra郵件服務程序）會在程序中封裝Memcache，管理員可以通過查看系統上的服務埠（UDP 11211）是否開放，如果開放請按上面的方式處置。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！