漏洞修復八個月後,仍有超過七萬台 memcached 伺服器面臨危險
在開源緩存軟體 memcached 修復了三個關鍵漏洞的八個月之後,仍有超過 70000 台未打補丁的緩存伺服器直接暴露在互聯網上。安全研究員警告說,黑客可能會在伺服器上執行惡意代碼或從其緩存中竊取潛在的敏感數據。
memcached 是一個實現了高性能緩存服務的軟體包,用於在內存中存儲從資料庫和 API 調用中獲取的數據塊。這有助於提高動態 Web 應用程序的響應速度,使其更加適合大型網站和大數據項目。
雖然 memcached 不是資料庫的替代品,但它存儲在內存中的數據包括了來自資料庫查詢的用戶會話和其他敏感信息。因此,該伺服器在設計上並不能直接暴露在互聯網等不受信任的環境中,其最新的版本已經支持了基本身份驗證。
去年 10 月份,memcached 的開發者修復了由 思科 Talos 部門 安全研究員發現並報告的三個遠程代碼執行漏洞(CVE-2016-8704、CVE-2016-8705 和 CVE-2016-8706)。所有這些漏洞都影響到了 memcached 用於存儲和檢索數據的二進位協議,其中一個漏洞出現在 Simple Authentication and Security Layer (SASL)的實現中。
在去年 12 月到今年 1 月期間,成隊的攻擊者從數萬個公開的資料庫中擦除數據,這包括 MongoDB、CouchDB、Hadoop 和 Elasticsearch 集群。在很多情況下,攻擊者勒索想要恢複數據的伺服器管理員,然而沒有任何證據表明他們的確對所刪除的數據進行了複製。
Talos 的研究人員認為, memcached 伺服器可能是下一個被攻擊的目標,特別是在幾個月前發現了漏洞之後。所以在二月份他們決定進行一系列的互聯網掃描來確定潛在的攻擊面。
掃描結果顯示,大約有 108000 個 memcached 伺服器直接暴露在互聯網上,其中只有 24000 個伺服器需要身份驗證。如此多的伺服器在沒有身份驗證的情況下可以公開訪問已經足夠糟糕,但是當他們對所提交的三個漏洞進行測試時,他們發現只有 200 台需要身份驗證的伺服器部署了 10 月的補丁,其它的所有伺服器都可能通過 SASL 漏洞進行攻擊。
總的來說,暴露於互聯網上的 memcached 伺服器有大約 80%,即 85000 個都沒有對 10 月份的三個關鍵漏洞進行安全修復。
由於補丁的採用率不佳,Talos 的研究人員決定對所有這些伺服器的 IP 地址進行 whois 查詢,並向其所有者發送電子郵件通知。
本月初,研究人員決定再次進行掃描。他們發現,雖然有 28500 台伺服器的 IP 地址與 2 月份時的地址不同,但仍然有 106000 台 memcached 伺服器暴露在網際網路上。
在這 106000 台伺服器中,有大約 70%,即 73400 台伺服器在 10 月份修復的三個漏洞的測試中仍然受到攻擊。超過 18000 個已識別的伺服器需要身份驗證,其中 99% 的伺服器仍然存在 SASL 漏洞。
即便是發送了成千上萬封電子郵件進行通知,補丁的採用率也僅僅提高了 10%。
Talos 研究人員在周一的博客中表示:「這些漏洞的嚴重程度不能被低估。這些漏洞可能會影響到小型和大型企業在互聯網上部署的平台,隨著最近大量的蠕蟲利用漏洞進行攻擊,應該為全世界的伺服器管理員敲響警鐘。如果這些漏洞沒有修復,就可能被利用,對組織和業務造成嚴重的影響。」
這項工作的結論表明,許多網路應用程序的所有者在保護用戶數據方面做得不好。首先,大量的 Memcached 伺服器直接暴露在互聯網上,其中大多數都沒有使用身份驗證。即使沒有任何漏洞,這些伺服器上緩存的數據也存在著安全風險。
其次,即使提供了關鍵漏洞的補丁,許多伺服器管理員也不會及時地進行修復。
在這種情況下,看到 memcached 伺服器像 MongoDB 資料庫一樣被大規模攻擊也並不奇怪。
via: https://thenewstack.io/70000-memcached-servers-can-hacked-using-eight-month-old-flaws/
作者:Lucian Constantin 譯者:firmianay 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive