[Avis de sécurité important] Memcached UDP Reflection attaque l’alerte de vulnérabilité
Date de publication 03/03/2018
Cette semaine, le Centre de sécurité d’Alibaba Cloud a détecté des exploits malveillants du service Memcached sur Internet. Si les clients ont ouvert le protocole UDP par défaut et et n’ont pas pu activer le contrôle d’accès, il peut être exploité par les hackers en faisant fonctionner le service Memcached, provoquant une consommation de bande passante sortante ou de ressource CPU.
Alibaba Cloud ApsaraDB pour Memcache n’utilise pas le protocole UDP, il n’est pas affecté par défaut, et les utilisateurs peuvent l’utiliser en toute sécurité. En même temps, Alibaba Cloud voudrait rappeler aux utilisateurs de se concentrer sur leur activité et commencer une enquête d’urgence.
Zone affectée :
Les services Memcached auto-construits avec le port Memcached 11211 UDP ouvert.
Méthode d’investigation :
1. Pour tester si le port Memcached 11211 UDP est ouvert depuis Internet. Vous pouvez utiliser l’outil nc pour tester le port, et vérifier si le serveur fait fonctionner le processus memcached. La méthode de test particulière est :
Testez le port : nc -vuz [adresse IP] 11211
Testez si le service memcached est ouvert : telnet [adresse IP] 11211. Si le port 11211 est ouvert, il peut être affecté.
Vérifiez sur le processus : ps-aux| grep memcached
2. Vous pouvez simplement tester si votre serveur est vulnérable en lançant la commande : « echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u 127.0.0.1 11211 »
Si vous voyez une réponse non-vide, votre serveur est vulnérable.
Solution :
1. Si vous utilisez le service Memcached et que vous avez ouvert le port UDP 11211 UDP, nous vous recommandons d’utiliser la politique de sécurité ECS ou d’autres politiques de pare-feux pour bloquer le port UDP 11211 pour s’assurer que le serveur Memcached ne peut être accédé depuis Internet via UDP;
2. Il est recommandé d’effectuer un renfort de sécurité sur le service Memcached en fonctionnement. Par exemple, vous pouvez activer l’IP d’écoute locale contraignante, désactiver l’accès externe, désactiver le protocole UDP, activer l’authentification d’identifiant et d’autres fonctionnalités de sécurité pour améliorer la sécurité Memcached ;
3. Memcached a officiellement sorti une nouvelle version dans laquelle le port UDP 11211 est désactivé par défaut. Il est recommandé de passer à la version 1.5.6 la plus récente.
Si vous avez des questions, n’hésitez pas à nous contacter en envoyant un ticket à tout moment.
Alibaba Cloud
Alibaba Cloud ApsaraDB pour Memcache n’utilise pas le protocole UDP, il n’est pas affecté par défaut, et les utilisateurs peuvent l’utiliser en toute sécurité. En même temps, Alibaba Cloud voudrait rappeler aux utilisateurs de se concentrer sur leur activité et commencer une enquête d’urgence.
Zone affectée :
Les services Memcached auto-construits avec le port Memcached 11211 UDP ouvert.
Méthode d’investigation :
1. Pour tester si le port Memcached 11211 UDP est ouvert depuis Internet. Vous pouvez utiliser l’outil nc pour tester le port, et vérifier si le serveur fait fonctionner le processus memcached. La méthode de test particulière est :
Testez le port : nc -vuz [adresse IP] 11211
Testez si le service memcached est ouvert : telnet [adresse IP] 11211. Si le port 11211 est ouvert, il peut être affecté.
Vérifiez sur le processus : ps-aux| grep memcached
2. Vous pouvez simplement tester si votre serveur est vulnérable en lançant la commande : « echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u 127.0.0.1 11211 »
Si vous voyez une réponse non-vide, votre serveur est vulnérable.
Solution :
1. Si vous utilisez le service Memcached et que vous avez ouvert le port UDP 11211 UDP, nous vous recommandons d’utiliser la politique de sécurité ECS ou d’autres politiques de pare-feux pour bloquer le port UDP 11211 pour s’assurer que le serveur Memcached ne peut être accédé depuis Internet via UDP;
2. Il est recommandé d’effectuer un renfort de sécurité sur le service Memcached en fonctionnement. Par exemple, vous pouvez activer l’IP d’écoute locale contraignante, désactiver l’accès externe, désactiver le protocole UDP, activer l’authentification d’identifiant et d’autres fonctionnalités de sécurité pour améliorer la sécurité Memcached ;
3. Memcached a officiellement sorti une nouvelle version dans laquelle le port UDP 11211 est désactivé par défaut. Il est recommandé de passer à la version 1.5.6 la plus récente.
Si vous avez des questions, n’hésitez pas à nous contacter en envoyant un ticket à tout moment.
Alibaba Cloud