在開源緩存軟件 memcached 修復(fù)了三個關(guān)鍵漏洞的八個月之后,仍有超過 70000 臺未打補丁的緩存服務(wù)器直接暴露在互聯(lián)網(wǎng)上。安全研究員警告說,黑客可能會在服務(wù)器上執(zhí)行惡意代碼或從其緩存中竊取潛在的敏感數(shù)據(jù)。
memcached 是一個實現(xiàn)了高性能緩存服務(wù)的軟件包,用于在內(nèi)存中存儲從數(shù)據(jù)庫和 API 調(diào)用中獲取的數(shù)據(jù)塊。這有助于提高動態(tài) Web 應(yīng)用程序的響應(yīng)速度,使其更加適合大型網(wǎng)站和大數(shù)據(jù)項目。
雖然 memcached 不是數(shù)據(jù)庫的替代品,但它存儲在內(nèi)存中的數(shù)據(jù)包括了來自數(shù)據(jù)庫查詢的用戶會話和其他敏感信息。因此,該服務(wù)器在設(shè)計上并不能直接暴露在互聯(lián)網(wǎng)等不受信任的環(huán)境中,其最新的版本已經(jīng)支持了基本身份驗證。
去年 10 月份,memcached 的開發(fā)者修復(fù)了由 思科 Talos 部門 安全研究員發(fā)現(xiàn)并報告的三個遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2016-8704、CVE-2016-8705 和 CVE-2016-8706)。所有這些漏洞都影響到了 memcached 用于存儲和檢索數(shù)據(jù)的二進(jìn)制協(xié)議,其中一個漏洞出現(xiàn)在 Simple Authentication and Security Layer (SASL)的實現(xiàn)中。
在去年 12 月到今年 1 月期間,成隊的攻擊者從數(shù)萬個公開的數(shù)據(jù)庫中擦除數(shù)據(jù),這包括 MongoDB、CouchDB、Hadoop 和 Elasticsearch 集群。在很多情況下,攻擊者勒索想要恢復(fù)數(shù)據(jù)的服務(wù)器管理員,然而沒有任何證據(jù)表明他們的確對所刪除的數(shù)據(jù)進(jìn)行了復(fù)制。
Talos 的研究人員認(rèn)為, memcached 服務(wù)器可能是下一個被攻擊的目標(biāo),特別是在幾個月前發(fā)現(xiàn)了漏洞之后。所以在二月份他們決定進(jìn)行一系列的互聯(lián)網(wǎng)掃描來確定潛在的攻擊面。
掃描結(jié)果顯示,大約有 108000 個 memcached 服務(wù)器直接暴露在互聯(lián)網(wǎng)上,其中只有 24000 個服務(wù)器需要身份驗證。如此多的服務(wù)器在沒有身份驗證的情況下可以公開訪問已經(jīng)足夠糟糕,但是當(dāng)他們對所提交的三個漏洞進(jìn)行測試時,他們發(fā)現(xiàn)只有 200 臺需要身份驗證的服務(wù)器部署了 10 月的補丁,其它的所有服務(wù)器都可能通過 SASL 漏洞進(jìn)行攻擊。
總的來說,暴露于互聯(lián)網(wǎng)上的 memcached 服務(wù)器有大約 80%,即 85000 個都沒有對 10 月份的三個關(guān)鍵漏洞進(jìn)行安全修復(fù)。
由于補丁的采用率不佳,Talos 的研究人員決定對所有這些服務(wù)器的 IP 地址進(jìn)行 whois 查詢,并向其所有者發(fā)送電子郵件通知。
本月初,研究人員決定再次進(jìn)行掃描。他們發(fā)現(xiàn),雖然有 28500 臺服務(wù)器的 IP 地址與 2 月份時的地址不同,但仍然有 106000 臺 memcached 服務(wù)器暴露在因特網(wǎng)上。
在這 106000 臺服務(wù)器中,有大約 70%,即 73400 臺服務(wù)器在 10 月份修復(fù)的三個漏洞的測試中仍然受到攻擊。超過 18000 個已識別的服務(wù)器需要身份驗證,其中 99% 的服務(wù)器仍然存在 SASL 漏洞。
即便是發(fā)送了成千上萬封電子郵件進(jìn)行通知,補丁的采用率也僅僅提高了 10%。
Talos 研究人員在周一的博客中表示:“這些漏洞的嚴(yán)重程度不能被低估。這些漏洞可能會影響到小型和大型企業(yè)在互聯(lián)網(wǎng)上部署的平臺,隨著最近大量的蠕蟲利用漏洞進(jìn)行攻擊,應(yīng)該為全世界的服務(wù)器管理員敲響警鐘。如果這些漏洞沒有修復(fù),就可能被利用,對組織和業(yè)務(wù)造成嚴(yán)重的影響。”
這項工作的結(jié)論表明,許多網(wǎng)絡(luò)應(yīng)用程序的所有者在保護(hù)用戶數(shù)據(jù)方面做得不好。首先,大量的 Memcached 服務(wù)器直接暴露在互聯(lián)網(wǎng)上,其中大多數(shù)都沒有使用身份驗證。即使沒有任何漏洞,這些服務(wù)器上緩存的數(shù)據(jù)也存在著安全風(fēng)險。
其次,即使提供了關(guān)鍵漏洞的補丁,許多服務(wù)器管理員也不會及時地進(jìn)行修復(fù)。
在這種情況下,看到 memcached 服務(wù)器像 MongoDB 數(shù)據(jù)庫一樣被大規(guī)模攻擊也并不奇怪。