Descripción

Se ha descubierto un nuevo vector de ataque, este ataque es ejecutado sobre la utilidad de Memcache versión 1.5.5, el cual es un sistema de cache distribuido de código abierto usado para acelerar aplicaciones web dinámicas y así funcionar con una gran cantidad de conexiones abiertas, la cual es utilizada en sitios como Facebook, Flickr, Reddit, Github, Youtube, entre otros. Esta utilidad corre sobre el puerto UDP / TCP 11211. Lo que llevó a facilitar la búsqueda en internet de puertos expuestos para lanzar ataques DDoS. Al hacer una búsqueda en plataformas como shodan aún existen más de 100 mil resultados de instancias expuestas, la mayoría con versiones inferiores a 1.5.6.

Para confirmar si el servidor es vulnerable bastará con ejecutar el siguiente comando,
$ echo -en “\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n” | nc -q1 -u 127.0.0.1 11211
si genera una salida de información como la siguiente la instancia es vulnerable, caso contrario no existe riesgo alguno.
STAT pid 21357

STAT uptime 41557034
STAT time 1519734962

Factor de Riesgo  Crítico
Valor CVSS Base CVE-2018-1000115

Solución
Una de las maneras más sencillas de evitar el ataque sobre Memcache es el uso de firewall, bloqueo del Puerto UDP o UDP con límite de velocidad sobre el puerto 11211.
Esta vulnerabilidad parece ser corregida en la versión 1.5.6 por lo cual es necesaria la actualización de dicho servicio.

Referencias
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-1000115.html
https://www.theregister.co.uk/2018/02/28/memcached_reflected_dos_attacks/

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like