CCERT月报:Memcache反射放大攻击或影响主干网络
近期,一种名为Memcache反射放大攻击的拒绝服务攻击在网络攻击流量占比中有增加的趋势。这种攻击利用了Memcache服务程序的漏洞,通过发送伪造源发地址的数据包到Memcache服务器的UDP 11211端口来进行反射放大攻击。Memcache是一个高性能的分布式内存对象缓存系统,由LiveJournal的Brad Fitzpatrick开发。Memcache服务会在内存里维护一个统一且巨大的Hash表,它能够用来存储各种格式的数据,包括图像、视频、文件以及数据库检索的结果等。简单的说就是将数据调用到内存中,然后从内存中读取,从而大大提高读取速度。目前该服务被大量运用于各种云服务中,用于对网站系统进行加速。Memcache协议支持Tcp和Upd数据,默认的Udp服务端口是11211,早期版本的Memcache服务无需验证就可对外提供服务,由于内部实现机制的错误,向该服务发送一个很小的查询包有可能返回巨大的查询结果,如果恶意的攻击者伪造源发地址(被攻击者的IP)向网络上的Memcache发送查询数据包,就可以造成反射放大攻击,得益于Memcache服务的高性能,这类反射放大攻击能将攻击流量放大到原始查询流量的千倍以上。因放大的倍数非常大,这种简单易行的放大攻击正在被越来越多的人利用,需要引起广大Memcache管理员的注意。
安全投诉事件统计
安全投诉事件整体数量呈下降趋势,自网络安全法实施以来,由于存在法律上的风险,在众测平台上被公布的各类网站漏洞和攻击数量也呈大幅下降趋势。
病毒与木马
近期没有新增影响特别广泛的蠕虫病毒。
近期新增严重漏洞评述
1、微软2018年2月的安全公告修补的漏洞数量较少只有54个,其中14个为严重等级漏洞、38个是重要等级漏洞、2个是一般等级漏洞。而3月的安全公告修补的漏洞数量则大幅增多,达到228个。这些漏洞影响到Windows系统、Office办公软件、Outlook、IE浏览器、Edge浏览器、脚本引擎、应用程序容器等。利用上述这些漏洞,攻击者可以远程执行任意代码,权限提升、绕过权限限制获取敏感信息或是拒绝服务攻击等。用户应该尽快使用Windows自带的Update功能进行更新。
2、Adobe公司在2月及3月的例行修补中发布了多个安全公告,其中包括APSA18-02和APSA18-05两个,前者用于更新Adobe Acrobat/Reader软件,后者用于更新Flash Player软件。这两个更新修补了相关产品中的多个安全漏洞,其中包括两个0day漏洞,分别是Adobe Acrobat/Reader中存在远程溢出漏洞(CVE-2018-4901)和Flash player零日攻击漏洞(CVE-2018-4878)。互联网上已经检测到多起针对上述两个漏洞的攻击,用户应该及时更新Adobe Acrobat/Reader和Flash player到最新版本,并谨慎打开来历不明的电子邮件或网页链接。如想获取更多关于这两个软件的漏洞信息请访问:https://helpx.adobe.com/security.html
3、Apache Tomcat 7、8、9版本中存在安全绕过漏洞(CVE-2018-1304、CVE-2018-1305),攻击者可以利用上述漏洞绕过某些安全限制来执行未经授权的操作。Tomcat 里的Servlet可以分层并设置安全规则。通常安全规则会被设置在第一层Servlet中,其下层Servlet可以直接继承上层Servlet的安全规则。但是Apache Tomcat 在解析Servlet安全规则时存在错误,安全规则只在该Servlet加载后才被应用。攻击者如果通过URL直接访问下层的Servlet,由于第一级的Servlet并未加载,安全规则并未生效原本应该被继承的安全规则就会被忽略掉,这将导致恶意的击者越权访问服务器上的敏感信息。使用了Tomcat的系统管理员应该尽快确认自己使用的版本是否受漏洞影响并及时修正漏洞。相关的信息请参见:https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@
4、Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,是基于GPL协议开发的一款开源软件,主要用来搭建邮件服务器。Exim 4.90.1之前版本中SMTP侦听器'base64d()'解码函数在发送Handcrafted消息时存在缓冲区溢出漏洞(CVE-2018-6789),由于Exim未能充分检查用户提供的数据。攻击者可利用该漏洞绕过了ASLR、PIE、NX等系统通用系统缓解措施,在受影响的应用程序上下文中执行任意代码,若攻击尝试失败仍可导致拒绝服务。如果您的邮件服务器中使用相关程序,应该尽快进行升级。官方的升级信息如下:https://www.exim.org/mirmon/ftp_mirrors.html
安全提示
由于Memcache反射放大攻击的简便和有效性,未来一段时间里类似的攻击流量占比会有增加趋势,并且这类攻击的流量可以达到T级别,可能会对主干网络的流量带来影响。由于Memcache加速服务多数是云内部的服务,它的11211端口并不需要向云外部的用户提供,因此建议可以从三个方面来对相关攻击进行限制:
1、从网络边界处禁封UDP 11211端口(校园网边界或是数据中心边界)
2、升级Memcache服务到最新版或者将Memcache服务端口绑定到127.0.0.1而不是外网地址。(可以通过扫描服务的手段来确定开放了外网服务的Memcache IP)。
3、需要注意的是除了云服务中自己安装的Memcache服务,一些其他的网络服务程序(如Zimbra邮件服务程序)会在程序中封装Memcache,管理员可以通过查看系统上的服务端口(UDP 11211)是否开放,如果开放请按上面的方式处置。