超過70000個Memcached服務器仍然容易受到遠程黑客攻擊

VSole2022-08-29 12:00:00

去年年底，思科的Talos intelligence and research group在Memcached中發現了三個關鍵的遠程代碼執行（RCE）漏洞，將Facebook、Twitter、YouTube、Reddit等主要網站暴露給黑客。

Memcached是一種流行的開源、易于部署的分布式緩存系統，它允許將對象存儲在內存中。

Memcached應用程序旨在加速動態web應用程序(例如基于php的網站）通過減少對數據庫的壓力，幫助管理員提高性能和擴展web應用程序。

Memcached開發人員發布了三個關鍵RCE漏洞（CVE-2016-8704、CVE-2016-8705和CVE-2016-8706）的修補程序已經將近八個月了，但運行Memcached應用程序的數萬臺服務器仍然容易受到攻擊，攻擊者可以遠程竊取敏感數據。

Talos的研究人員在兩個不同的場合進行了互聯網掃描，一次是在2月底，另一次是在7月，以查明有多少服務器仍在運行易受攻擊的Memcached應用程序版本。

結果令人驚訝。

2月份掃描結果：

服務器最脆弱的前5個國家是美國，其次是中國、英國、法國和德國。

7月份掃描結果：

在比較了兩次互聯網掃描的結果后，研究人員了解到，在2月份的掃描中發現有漏洞的服務器中，只有2958臺在7月份的掃描之前得到了修補，而其余的服務器仍然容易受到遠程黑客攻擊。

數據泄露:贖金威脅

組織對及時應用補丁的無知令人擔憂，因為Talos研究人員警告說，這些易受攻擊的Memcached安裝可能很容易成為勒索軟件攻擊的目標，類似于12月底襲擊MongoDB數據庫的攻擊。

雖然與MongoDB不同，Memcached不是一個數據庫，但它仍然可能包含敏感信息，服務可用性的中斷肯定會導致依賴服務的進一步中斷。"

Memcached的缺陷可能會讓黑客用惡意內容替換緩存內容，從而破壞網站、提供釣魚頁面、勒索威脅，以及劫持受害者機器的惡意鏈接，從而使數億在線用戶面臨風險。

研究人員得出結論：“隨著最近大量蠕蟲攻擊利用漏洞，這應該是世界各地管理員的一個危險信號。“如果不加以解決，這些漏洞可能會影響全球組織，并嚴重影響業務。強烈建議立即修補這些系統，以幫助減輕組織面臨的風險”。

建議客戶和組織盡快將該補丁應用于“受信任”環境中的Memcached部署，因為具有現有訪問權限的攻擊者可能會以易受攻擊的服務器為目標，在這些網絡中橫向移動。

黑客memcached

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接