CSIRT Panamá Aviso 2018-03-05 Vulnerabilidad memcached
Gravedad: Alta
Fecha de publicación: 05 marzo 2018
Fecha de modificación: 05 marzo 2018
Última revisión: Revisión C.
Fuente: Segu-Info, Akamai, Red Hat, Radware
Sistemas Afectados
Servidores y máquinas que trabajan con Memcached.
Incluyen paquetes de memcached en servidores Red Hat Enterprise Linux 6 y 7.
I. Descripción
El pasado 28 de febrero de 2018, la empresa GitHub recibió los dos ataques más grande de la historia (hasta ahora) de Denegación de Servicio Distribuida Reflectiva (RDDoS, por sus siglas en inglés). El ataque consistió en la amplificación volumétrica de peticiones en el protocolo UDP en el puerto 11211 a través de servidores Memcached expuestos a Internet.
Un servidor Memcached es un dispositivo que trabaja como sistema distribuido de almacenamiento de caché de memoria a través del programa de código abierto “Memcached”; se utiliza comúnmente para aumentar la velocidad de respuesta del contenido web dinámico de aplicaciones. El servicio de caché de memoria (memcache) no fué diseñado para estar expuesto a Internet, por lo que no posee suficiente controles de seguridad. Los servicios basados en UDP (como DNS, NTP, SSDP y Memcached) no tienen un mecanismo de autenticación nativo, por lo que son secuestrados para lanzar ataques amplificados a algún sistema víctima.
Mitigación
– Evitar exponer al Internet servidores Memcached.
– Configurar que el servicio Memcached solo sea accesible desde equipos de confianza.
– Deshabilitar el protocolo UDP del puerto 112111 para el servicio Memcached, esto se puede lograr también actualizando a la última versión del código de Memcached (1.5.6 en el momento de ésta publicación). Solo permitir conexiones por TCP.
– Habilitar autenticación SAML (Security Assertion Markup Language).
Para mayor información y configuraciones sobre Memcached, referirse a la “sección III. Referencia a soluciones, herramientas e información”.
II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Denegación de servicios masiva.
III. Referencia a soluciones, herramientas e información
a. https://blog.segu-info.com.ar/2018/03/github-registra-el-ataques-ddos-mas.html
b. https://blogs.akamai.com/2018/03/memcached-fueled-13-tbps-attacks.html
c. https://access.redhat.com/solutions/3369081
d. https://access.redhat.com/solutions/1160613
e. https://security.radware.com/WorkArea/DownloadAsset.aspx?id=1889
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa