在當今世界之中,從國境到網(wǎng)絡空間,已然不存在任何絕對安全的事物。更可怕的是,盡管人們都很清楚安全漏洞的危害,但卻對即時安裝補丁保持消極態(tài)度。
去年年底,思科公司Talos情報與研究小組在Memcached當中發(fā)現(xiàn)三項高危遠程代碼執(zhí)行(簡稱RCE)漏洞。這些漏洞的存在意味著黑客將有可能入侵Facebook、Twitter、YouTube乃至Reddit等高人氣網(wǎng)站。
Memcached是一套極具知名度且易于部署的開源分布式緩存系統(tǒng),可將對象存儲在內(nèi)存當中。
Memcached應用的設計目標在于為動態(tài)Web應用程序(例如基于php的網(wǎng)站)提供速度提升,具體方式包括降低數(shù)據(jù)庫壓力,從而幫助管理員更輕松地提升性能并實現(xiàn)Web應用規(guī)模擴展。
漏洞修復現(xiàn)狀自Memcached開發(fā)者們針對這三項高危RCE安全漏洞發(fā)布修復補丁已經(jīng)過去了近八個月,但仍有成千上萬臺運行有Memcached應用的服務器存在安全漏洞,允許攻擊者以遠程方式竊取各類敏感數(shù)據(jù)。這三個漏洞編號為:
CVE-2016-8704;
CVE-2016-8705 ;
CVE-2016-8706。
Talos小組的研究人員們分別于今年2月下旬及今年7月進行了兩輪互聯(lián)網(wǎng)掃描,希望了解目前尚存在多少臺運行有Memcached漏洞版本的服務器。其結果可謂令人震驚……
今年2月的掃描結果暴露于互聯(lián)網(wǎng)上的服務器數(shù)量 — 107786臺
仍存在安全漏洞的服務器數(shù)量 — 85121臺
仍存在安全漏洞但需要驗證方可訪問的服務器數(shù)量 — 23707臺
而漏洞服務器數(shù)量最多的五個國家分別為美國、中國、英國、法國與德國。
今年7月的掃描結果暴露于互聯(lián)網(wǎng)上的服務器數(shù)量 — 106001臺
仍存在安全漏洞的服務器數(shù)量 — 73403臺
仍存在安全漏洞但需要驗證方可訪問的服務器數(shù)量 — 18012臺
在對互聯(lián)網(wǎng)掃描結果進行比較之后,研究人員們發(fā)現(xiàn),只有2958臺服務器在2月到7月兩輪掃描期間完成了修復補丁安裝,而其余服務器截至目前仍可能受到相關遠程攻擊的影響。
數(shù)據(jù)泄露與勒索威脅Talos小組的研究人員們警告稱,這些存在安全漏洞的Memcached安裝實例很可能成為去年12月影響大量MongoDB數(shù)據(jù)庫的同類勒索軟件的攻擊目標。
盡管Memcached并不屬于MongoDB這類數(shù)據(jù)庫,但其“仍可能包含大量敏感信息,而相關服務中斷則必然引發(fā)一系列后續(xù)業(yè)務服務遭到破壞。”
Memcached當中的這些安全缺陷允許攻擊者利用自有惡意內(nèi)容替換緩存內(nèi)容,進而破壞網(wǎng)站、發(fā)布網(wǎng)絡釣魚頁面、支持受害者設備以索取贖金,又或者發(fā)布惡意鏈接,最終導致數(shù)億網(wǎng)絡用戶面臨極高安全風險。
研究人員們總結稱,“隨著近期大量蠕蟲病毒利用這些漏洞開展攻擊,世界各地的管理員都應該對此抱持警惕態(tài)度。如果放任這些漏洞不加處理,攻擊者可能利用其對全球各地的企業(yè)發(fā)起攻擊,并嚴重破壞正常業(yè)務。強烈建議用戶立即修復這些系統(tǒng),以幫助所在組織機構降低安全風險。”
客戶及各類組織機構應盡快應用修復補丁,包括部署在各類“受信”環(huán)境當中的Memcached,因為具有相關訪問權限的攻擊者很可能會以漏洞服務器為跳板在此類網(wǎng)絡中進行橫向移動。