Memcached缓存系统中发现多个关键的可远程利用缺陷

当心它可能容易受到远程黑客的攻击。

Cisco Talos Group的安全研究员Aleksandar Nikolich在Memcached中报告了三个关键的远程代码执行漏洞，这些漏洞将Facebook、Twitter、YouTube、Reddit等主要网站暴露给黑客。

Memcached是一个非常棒的开源分布式缓存系统，它允许对象存储在内存中。它旨在通过减少数据库压力来加速动态web应用程序，从而帮助管理员提高性能和扩展web应用程序。

Memcached被成千上万的网站广泛使用，包括Facebook、Flickr、Twitter、Reddit、YouTube、Github等热门社交网站。

Nikolich说，他在Memcached中发现了多个整数溢出漏洞，可以利用这些漏洞在目标系统上远程运行任意代码，从而破坏了许多暴露Memcache服务器的网站，这些服务器可以通过互联网访问。

这些漏洞实际上存在于用于插入、追加、预结束或修改键值数据对的各种Memcached函数

• CVE-2016-8704:Memcached Server追加/前置远程代码执行漏洞
• CVE-2016-8705:Memcached服务器更新远程代码执行漏洞
• CVE-2016-8706:Memcached Server SASL身份验证远程代码执行漏洞

黑客可以远程窃取敏感信息

如果受到攻击，攻击者可以利用这些漏洞向目标服务器重复发送精心编制的Memcached命令。

此外，还可以利用这些缺陷泄漏敏感的流程信息，这些信息可以进一步用于绕过标准的漏洞缓解措施，如ASLR（地址空间布局随机化），从而使攻击变得可靠且相当“严重”

默认情况下，安装在服务器上的Memcached服务在TCP端口11211上对世界可用，因此强烈建议在防火墙后面的可信环境中限制其访问。

因此，如果您尚未将软件更新到最新版本，并且Memcached服务可以公开访问，攻击者只需利用这些漏洞在您不知情的情况下远程窃取服务器缓存的敏感信息。

更糟的是什么？这些缺陷可能会让黑客用恶意内容替换缓存内容，从而破坏网站、提供钓鱼页面和恶意链接，劫持受害者的机器，从而使数亿在线用户面临风险。

现在修补你的Memcached服务器！

Memcached中的整数溢出缺陷会影响Memcached 1.4.31及更早版本。

研究人员将缺陷通知了Memcached，该公司仅在10月31日花了两天时间构建了一个补丁。

Memcached表示，关键的远程代码执行缺陷与二进制协议以及二进制协议的SASL身份验证相关但已在最新版本中修复。

建议客户甚至将该补丁应用于“受信任”环境中的Memcached部署，因为具有现有访问权限的攻击者可能会将易受攻击的服务器作为目标，在这些网络中横向移动。