信息來(lái)源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心
近日���,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了Memcached存在的多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2016-10468�����、CNVD-2016-10467�����、CNVD-2016-10466�����,對(duì)應(yīng)CVE-2016-8704��、CVE-2016-8705��、CVE-2016-8706)���。綜合利用上述漏洞�,遠(yuǎn)程攻擊者通過(guò)發(fā)送特制的命令到目標(biāo)系統(tǒng)��,進(jìn)而可遠(yuǎn)程執(zhí)行任意命令,有可能誘發(fā)以控制為目的大規(guī)模攻擊�。CNCERT第一時(shí)間對(duì)上述漏洞的相關(guān)情況進(jìn)行了解和分析,具體通報(bào)如下:
一��、漏洞情況分析
Memcached是一個(gè)高性能的分布式內(nèi)存對(duì)象緩存系統(tǒng)��,用于動(dòng)態(tài)Web應(yīng)用以減輕數(shù)據(jù)庫(kù)負(fù)載���。由于Memcached用于插入���、添加、修改鍵值對(duì)的函數(shù)process_bin_append_prepend和process_bin_update以及Memcached在編譯過(guò)程中啟用的SASL驗(yàn)證存在整數(shù)溢出漏洞�。遠(yuǎn)程攻擊者利用漏洞通過(guò)構(gòu)造特制的Memcached命令,可在目標(biāo)系統(tǒng)執(zhí)行任意系統(tǒng)命令����,獲取敏感進(jìn)程信息,進(jìn)而繞過(guò)通用的漏洞緩解機(jī)制�,最終可獲取系統(tǒng)控制權(quán)限。
CNVD對(duì)上述漏洞的綜合評(píng)級(jí)均為“高?!薄D壳?����,相關(guān)利用代碼已經(jīng)在互聯(lián)網(wǎng)上公開(kāi),近期出現(xiàn)攻擊嘗試爆發(fā)的可能����。
二��、漏洞影響范圍
上述漏洞影響Memcached 1.4.31版本����。由于攻擊者可繞過(guò)常規(guī)的漏洞緩解機(jī)制利用漏洞,可直接在公網(wǎng)訪問(wèn)的Memcached服務(wù)受漏洞威脅嚴(yán)重��。根據(jù)CNVD普查����,超過(guò)2.8萬(wàn)集成memcache的主機(jī)暴露在互聯(lián)網(wǎng)上(暫未區(qū)分版本情況)。按國(guó)家和地區(qū)分布排名����,位居前五的分別是中國(guó)(53.2%)、美國(guó)(38.9%)���、中國(guó)香港(3.3%)�、英國(guó)(2.5%)�����、德國(guó)(2.0%),其中境內(nèi)IP分布方面���,阿里云上承載的服務(wù)器主機(jī)占比較高����,占境內(nèi)比例約為29.2%���。按前端承載容器分布�,排名前三分別是:Apache(62.0%)�、Nginx(32.3%)、IIS(3.6%)�����。
三�����、漏洞修復(fù)建議
目前��,官方廠商已發(fā)布了漏洞修復(fù)方案�,用戶可將程序升級(jí)至1.4.33版本�����。CNCERT建議用戶關(guān)注廠商主頁(yè)���,升級(jí)到最新版本�,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
CNCERT 將繼續(xù)跟蹤事件后續(xù)情況�����。同時(shí)�,請(qǐng)國(guó)內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,如需技術(shù)支援���,請(qǐng)聯(lián)系 CNCERT����。電子郵箱: cncert@cert.org.cn�,聯(lián)系電話: 010-82990999。
