Kwetsbaarheden Memcached servers: Denial-of-Service en Data exfiltration/Manipulation

Advisory: CERT.be Advisory #2018-006
Versie: 1.0
Geïmpacteerde software: Memcached servers
Type: Denial-of-Service (DoS), Data Exfiltration/manipulation

Referentie

https://thehackernews.com/2018/03/prevent-memcached-ddos.html

Fixed version: Memcached 1.5.6

Risico

CERT.be raadt systeembeheerders aan het UDP-protocol handmatig te blokkeren op het niveau van de firewall (standaard gebruikt Memcached poort : 11211), of de nieuwste versie van Memcached 1.5.6 te installeren. Deze versie deactiveert standaard het UDP-protocol om amplification/reflection DDoS-aanvallen te voorkomen. Indien het niet mogelijk is om het gebruik van het UDP protocol te blokkeren kan white-listing op niveau van de firewall een oplossing bieden. De Memcached service aan een lokale interface koppelen en niet bloot te stellen aan het internet is ook een mogelijke oplossing.

De kwetsbaarheid CVE-2018-1000115 werd gecatalogeerd onder de “Denial of Service” categorie, verdere uitbuiting van deze kwetsbaarheid is echter niet uitgesloten. Een team van onderzoekers beweert dat het mogelijk is om code vanop afstand zonder authenticatie te lezen/wijzigen door middel van een debug commando. De kwetsbaarheid kan ook gebruikt worden om een Denial-of-Service te veroorzaken door een shutdown request te sturen naar de Memcached server.

Samenvatting

Memcached verhoogt de prestatie van dynamische database-gedreven websites aanzienlijk door het cachen van gegevens en objecten in RAM-geheugen.

UDP-ondersteuning uitschakelen kan voorkomen dat Memcached servers worden misbruikt als DoS reflector, maar biedt geen oplossing voor het probleem waarbij het debug- en shutdowncommando misbruikt wordt. Systeembeheerders moeten waakzaam blijven en controleren of de aanvalsvector die het debug commando gebruikt in de praktijk werkbaar is.

Aanbevolen acties

CERT.be raadt systeembeheerders aan het UDP-protocol handmatig te blokkeren op het niveau van de firewall, of de nieuwste versie van Memcached 1.5.6 te installeren. Indien het niet mogelijk is om het gebruik van het UDP protocol te blokkeren kan white-listing op niveau van de firewall een oplossing bieden.

Als een koppeling van Memcached aan het internet niet noodzakelijk is, kan men de server beter binden aan een lokale interface. Eveneens raden wij systeembeheerders aan om debug commando’s in logbestanden en andere bronnen te monitoren.