{"id":1166,"date":"2018-03-05T14:31:34","date_gmt":"2018-03-05T19:31:34","guid":{"rendered":"https:\/\/cert.pa\/?p=1166"},"modified":"2018-03-06T14:05:11","modified_gmt":"2018-03-06T19:05:11","slug":"csirt-panama-aviso-2018-03-05-vulnerabilidad-memcached","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=1166","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2018-03-05 Vulnerabilidad memcached"},"content":{"rendered":"<p><strong>CSIRT Panam\u00e1 Aviso 2018-03-05 Vulnerabilidad memcached<\/strong><\/p>\n<p>Gravedad: Alta<br \/>\nFecha de publicaci\u00f3n: 05 marzo 2018<br \/>\nFecha de modificaci\u00f3n: 05 marzo 2018<br \/>\n\u00daltima revisi\u00f3n: Revisi\u00f3n C.<br \/>\nFuente: Segu-Info, Akamai, Red Hat, Radware<\/p>\n<p><strong>Sistemas Afectados<\/strong><br \/>\nServidores y m\u00e1quinas que trabajan con Memcached.<br \/>\nIncluyen paquetes de memcached en servidores Red Hat Enterprise Linux 6 y 7.<\/p>\n<p><strong>I. Descripci\u00f3n<\/strong><br \/>\nEl pasado 28 de febrero de 2018, la empresa GitHub recibi\u00f3 los dos ataques m\u00e1s grande de la historia (hasta ahora) de Denegaci\u00f3n de Servicio Distribuida Reflectiva (RDDoS, por sus siglas en ingl\u00e9s). El ataque consisti\u00f3 en la amplificaci\u00f3n volum\u00e9trica de peticiones en el protocolo UDP en el puerto 11211 a trav\u00e9s de servidores Memcached expuestos a Internet.<br \/>\nUn servidor Memcached es un dispositivo que trabaja como sistema distribuido de almacenamiento de cach\u00e9 de memoria a trav\u00e9s del programa de c\u00f3digo abierto &#8220;Memcached&#8221;; se utiliza com\u00fanmente para aumentar la velocidad de respuesta del contenido web din\u00e1mico de aplicaciones. El servicio de cach\u00e9 de memoria (memcache) no fu\u00e9 dise\u00f1ado para estar expuesto a Internet, por lo que no posee suficiente controles de seguridad. Los servicios basados en UDP (como DNS, NTP, SSDP y Memcached) no tienen un mecanismo de autenticaci\u00f3n nativo, por lo que son secuestrados para lanzar ataques amplificados a alg\u00fan sistema v\u00edctima.<\/p>\n<p><strong>Mitigaci\u00f3n<\/strong><br \/>\n&#8211; Evitar exponer al Internet servidores Memcached.<br \/>\n&#8211; Configurar que el servicio Memcached solo sea accesible desde equipos de confianza.<br \/>\n&#8211; Deshabilitar el protocolo UDP del puerto 112111 para el servicio Memcached, esto se puede lograr tambi\u00e9n actualizando a la \u00faltima versi\u00f3n del c\u00f3digo de Memcached (1.5.6 en el momento de \u00e9sta publicaci\u00f3n). Solo permitir conexiones por TCP.<br \/>\n&#8211; Habilitar autenticaci\u00f3n SAML (Security Assertion Markup Language).<\/p>\n<p>Para mayor informaci\u00f3n y configuraciones sobre Memcached, referirse a la &#8220;secci\u00f3n III. Referencia a soluciones, herramientas e informaci\u00f3n&#8221;.<\/p>\n<p><strong>II. Impacto<\/strong><br \/>\nComplejidad de Acceso: Media.<br \/>\nAutenticaci\u00f3n: No requerida para explotarla.<br \/>\nTipo de impacto: Denegaci\u00f3n de servicios masiva.<\/p>\n<p><strong>III. Referencia a soluciones, herramientas e informaci\u00f3n<\/strong><br \/>\na. https:\/\/blog.segu-info.com.ar\/2018\/03\/github-registra-el-ataques-ddos-mas.html<br \/>\nb. https:\/\/blogs.akamai.com\/2018\/03\/memcached-fueled-13-tbps-attacks.html<br \/>\nc. https:\/\/access.redhat.com\/solutions\/3369081<br \/>\nd. https:\/\/access.redhat.com\/solutions\/1160613<br \/>\ne. https:\/\/security.radware.com\/WorkArea\/DownloadAsset.aspx?id=1889<\/p>\n<p><strong>IV. Informaci\u00f3n de contacto<\/strong><br \/>\nCSIRT PANAMA<br \/>\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental<br \/>\nE-Mail: info@cert.pa<br \/>\nWeb: http:\/\/www.cert.pa<\/p>\n","protected":false},"excerpt":{"rendered":"<p>CSIRT Panam\u00e1 Aviso 2018-03-05 Vulnerabilidad memcached Gravedad: Alta Fecha de publicaci\u00f3n: 05 marzo 2018 Fecha de modificaci\u00f3n: 05 marzo 2018 \u00daltima revisi\u00f3n: Revisi\u00f3n C. Fuente: Segu-Info, Akamai, Red Hat, Radware Sistemas Afectados Servidores y m\u00e1quinas&#8230;<\/p>\n","protected":false},"author":4,"featured_media":1167,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-1166","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1166","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1166"}],"version-history":[{"count":4,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1166\/revisions"}],"predecessor-version":[{"id":1171,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1166\/revisions\/1171"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/1167"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}