逾7万台Memcached服务器仍易受远程入侵

Posted 2021-05-02 代码卫士

这个世界上没有东西是完全安全的，从边境到网络空间皆如此。人们都知道有漏洞不好，但最糟糕的是人们根本不会按时应用补丁。

去年年末，思科情报和研究团队在Memcached中发现三个严重的远程代码执行漏洞，导致大型网站包括Facebook、推特、YouTube、Reddit遭暴露。

Memcached是一款流行的开源且易被部署的分布式缓存系统，允许对象存储在内存中。Memcached应用程序旨在通过减轻帮助管理员提高性能和扩大web应用程序减轻数据库压力，从而加速动态网络应用程序（如基于php的网站）。

距离从Memcached开发人员为这三个RCE漏洞 (CVE-2016-8704、CVE-2016-8705和CVE-2016-8706) 发布补丁后已有8个月之久，但成千上万台运行Memcached应用程序的服务器仍然易受攻击，能让攻击者远程窃取敏感数据。

研究人员在2月末和7月分别开展了互联网扫描，查找多少台服务器依然运行易受攻击的Memcached应用程序版本。而结果让人吃惊。2月末的扫描发现共有107,786台服务器暴露在互联网，85,121台服务器仍易受攻击，而23,707台服务器仍然易受攻击但须验证。

受影响最厉害的前五个国家是美国、中国、英国、法国和德国。

7月份扫描的结果是，共发现106,001台服务器暴露到互联网上，73,403台服务器仍易受攻击，而18,012台服务器易受攻击但仍需验证。

通过比对这两次互联网扫描，研究人员了解到2月份只有2,958台服务器易受攻击，且在7月扫描之前已修复，而其余的服务器仍然易受远程攻击。

数据泄露和勒索威胁

组织机构未能及时应用补丁的做法让人担忧，思科研究人员告警称这些易受攻击的Memcached程序易受类似于在去年12月攻击MongoDB数据库类似的勒索软件攻击。尽管不同于MongoDB，但Memcached并非是数据库，它“仍能包含敏感信息并干扰服务的可用性，从而感染依赖服务。”

Memcached中的缺陷能让黑客用恶意内容替代缓存内容从而涂鸦网站、实施钓鱼、带来勒索威胁并通过恶意链接劫持受害者机器，从而将数千万名用户置于风险中。

建议消费者和组织机构尽快在即使“受信任”的环境中将补丁应用于Memcached部署中，因为拥有已有权限的攻击者能攻击易受攻击的服务器从而在这些网络中横向移动。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。

---

360代码卫士

    长按二维码关注我们！