Memcache反射放大攻击 或影响主干网络

2018-05-16 13:20郑先伟
中国教育网络 2018年4期
关键词:攻击者端口漏洞

文/郑先伟

近期,一种名为Memcache反射放大攻击的拒绝服务攻击在网络攻击流量占比中有增加的趋势。这种攻击利用了Memcache服务程序的漏洞,通过发送伪造源发地址的数据包到Memcache服务器的UDP 11211端口来进行反射放大攻击。Memcache是一个高性能的分布式内存对象缓存系统,由LiveJournal的Brad Fitzpatrick开发。Memcache服务会在内存里维护一个统一且巨大的Hash表,它能够用来存储各种格式的数据,包括图像、视频、文件以及数据库检索的结果等。简单的说就是将数据调用到内存中,然后从内存中读取,从而大大提高读取速度。目前该服务被大量运用于各种云服务中,用于对网站系统进行加速。Memcache协议支持Tcp和Upd数据,默认的Udp服务端口是11211,早期版本的Memcache服务无需验证就可对外提供服务,由于内部实现机制的错误,向该服务发送一个很小的查询包有可能返回巨大的查询结果,如果恶意的攻击者伪造源发地址(被攻击者的IP)向网络上的Memcache发送查询数据包,就可以造成反射放大攻击,得益于Memcache服务的高性能,这类反射放大攻击能将攻击流量放大到原始查询流量的千倍以上。因放大的倍数非常大,这种简单易行的放大攻击正在被越来越多的人利用,需要引起广大Memcache管理员的注意。

2018年1~3月安全投诉事件统计

近期没有新增影响特别广泛的蠕虫病毒。

1. 微软2018年2月的安全公告修补的漏洞数量较少只有54个。而3月的安全公告修补的漏洞数量则大幅增多,达到228个。利用这些漏洞,攻击者可以远程执行任意代码、权限提升、绕过权限限制获取敏感信息或是拒绝服务攻击等。用户应该尽快使用Windows自带的Update功能进行更新。

2. Adobe公司在2月及3月的例行修补中发布了多个安全公告,其中包括APSA18-02和APSA18-05两个,前者用于更新Adobe Acrobat/Reader软件,后者用于更新Flash Player软件。这两个更新修补了相关产品中的多个安全漏洞,其中包括两个0day漏洞,分别是Adobe Acrobat/Reader中存在远程溢出漏洞(CVE-2018-4901)和Flash player零日攻击漏洞(CVE-2018-4878)。

3. Apache Tomcat 7、8、9版本中存在安全绕过漏洞(CVE-2018-1304、CVE-2018-1305),攻击者可以利用上述漏洞绕过某些安全限制来执行未经授权的操作。Tomcat 里的Servlet可以分层并设置安全规则。通常安全规则会被设置在第一层Servlet中,其下层Servlet可以直接继承上层Servlet的安全规则。但是Apache Tomcat 在解析Servlet安全规则时存在错误,安全规则只在该Servlet加载后才被应用。攻击者如果通过URL直接访问下层的Servlet,由于第一级的Servlet并未加载,安全规则并未生效原本应该被继承的安全规则就会被忽略掉,这将导致恶意的击者越权访问服务器上的敏感信息。使用了Tomcat的系统管理员应该尽快确认自己使用的版本是否受漏洞影响并及时修正漏洞。

4. Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件。Exim 4.90.1之前版本中SMTP侦听器'base64d()'解码函数在发送Handcrafted消息时存在缓冲区溢出漏洞(CVE-2018-6789),由于Exim未能充分检查用户提供的数据。攻击者可利用该漏洞绕过了ASLR、PIE、NX等系统通用系统缓解措施,在受影响的应用程序上下文中执行任意代码,若攻击尝试失败仍可导致拒绝服务。如果您的邮件服务器中使用相关程序,应该尽快进行升级。官方的升级信息如下:https://www.exim.org/mirmon/ftp_mirrors.html

安全提示

由于Memcache反射放大攻击的简便和有效,未来一段时间里类似的攻击流量占比会有增长趋势,并且这类攻击的流量可以达到T级别,可能会对主干网络的流量带来影响。由于Memcache加速服务多数是云内部的服务,它的11211端口并不需要向云外部的用户提供,因此建议可以从三个方面来对相关攻击进行限制:

1. 从网络边界处禁封UDP 11211端口(校园网边界或是数据中心边界)。

2. 升级Memcache服务到最新版或者将Memcache服务端口绑定到127.0.0.1而不是外网地址。(可以通过扫描服务的手段来确定开放了外网服务的Memcache IP)。

3. 需要注意的是除了云服务中自己安装的Memcache服务,一些其他的网络服务程序(如Zimbra邮件服务程序)会在程序中封装Memcache,管理员可以通过查看系统上的服务端口(UDP 11211)是否开放,如果开放请按上面的方式处置。

猜你喜欢
攻击者端口漏洞
漏洞
一种有源二端口网络参数计算方法
一种端口故障的解决方案
多按键情况下,单片机端口不足的解决方法
正面迎接批判
正面迎接批判
三明:“两票制”堵住加价漏洞
漏洞在哪儿
高铁急救应补齐三漏洞
有限次重复博弈下的网络攻击行为研究