信息來源:國家互聯(lián)網(wǎng)應(yīng)急中心
近日��,國家信息安全漏洞共享平臺(CNVD)收錄了Memcached存在的多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2016-10468����、CNVD-2016-10467、CNVD-2016-10466���,對應(yīng)CVE-2016-8704���、CVE-2016-8705、CVE-2016-8706)�。綜合利用上述漏洞,遠(yuǎn)程攻擊者通過發(fā)送特制的命令到目標(biāo)系統(tǒng)�����,進(jìn)而可遠(yuǎn)程執(zhí)行任意命令�,有可能誘發(fā)以控制為目的大規(guī)模攻擊。CNCERT第一時(shí)間對上述漏洞的相關(guān)情況進(jìn)行了解和分析,具體通報(bào)如下:
一���、漏洞情況分析
Memcached是一個(gè)高性能的分布式內(nèi)存對象緩存系統(tǒng)����,用于動態(tài)Web應(yīng)用以減輕數(shù)據(jù)庫負(fù)載����。由于Memcached用于插入、添加��、修改鍵值對的函數(shù)process_bin_append_prepend和process_bin_update以及Memcached在編譯過程中啟用的SASL驗(yàn)證存在整數(shù)溢出漏洞��。遠(yuǎn)程攻擊者利用漏洞通過構(gòu)造特制的Memcached命令��,可在目標(biāo)系統(tǒng)執(zhí)行任意系統(tǒng)命令�,獲取敏感進(jìn)程信息,進(jìn)而繞過通用的漏洞緩解機(jī)制�����,最終可獲取系統(tǒng)控制權(quán)限�。
CNVD對上述漏洞的綜合評級均為“高危”����。目前,相關(guān)利用代碼已經(jīng)在互聯(lián)網(wǎng)上公開�����,近期出現(xiàn)攻擊嘗試爆發(fā)的可能���。
二�����、漏洞影響范圍
上述漏洞影響Memcached 1.4.31版本�。由于攻擊者可繞過常規(guī)的漏洞緩解機(jī)制利用漏洞���,可直接在公網(wǎng)訪問的Memcached服務(wù)受漏洞威脅嚴(yán)重�����。根據(jù)CNVD普查�����,超過2.8萬集成memcache的主機(jī)暴露在互聯(lián)網(wǎng)上(暫未區(qū)分版本情況)����。按國家和地區(qū)分布排名,位居前五的分別是中國(53.2%)����、美國(38.9%)、中國香港(3.3%)�����、英國(2.5%)�����、德國(2.0%)�����,其中境內(nèi)IP分布方面���,阿里云上承載的服務(wù)器主機(jī)占比較高�����,占境內(nèi)比例約為29.2%����。按前端承載容器分布,排名前三分別是:Apache(62.0%)����、Nginx(32.3%)���、IIS(3.6%)�����。
三�、漏洞修復(fù)建議
目前�,官方廠商已發(fā)布了漏洞修復(fù)方案,用戶可將程序升級至1.4.33版本����。CNCERT建議用戶關(guān)注廠商主頁,升級到最新版本��,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件�����。
CNCERT 將繼續(xù)跟蹤事件后續(xù)情況。同時(shí)�,請國內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,如需技術(shù)支援���,請聯(lián)系 CNCERT��。電子郵箱: cncert@cert.org.cn�,聯(lián)系電話: 010-82990999����。
