Minggu ini, Pusat Keamanan Cloud Alibaba mendeteksi serangan berbahaya di Internet menggunakan kerentanan dalam layanan Memcached. Jika pelanggan membuka protokol UDP secara default dan tidak menggunakan kontrol akses, peretas dapat mengeksploitasi layanan Memcached saat menjalankannya, menghasilkan konsumsi bandwidth keluar atau konsumsi sumber daya CPU.
Alibaba Cloud Cloud Cloud Database Memcache Edition tidak menggunakan protokol UDP dan tidak terpengaruh oleh masalah ini secara default. Pada saat yang sama, Alibaba Cloud mengingatkan pengguna untuk memperhatikan bisnis mereka sendiri dan memulai penyelidikan darurat.
Area yang Terkena Dampak:
Pengguna membangun layanan Memcached pada port UDP Memcached 11211.
Rencana investigasi:
1. Untuk menguji apakah port UDP Memcached 11211 terbuka dari Internet eksternal, Anda dapat menggunakan alat nc untuk menguji port dan melihat apakah proses Memcached berjalan di server.
Port uji: nc -vuz Alamat IP 11211
Uji apakah layanan memcached terbuka untuk umum: alamat IP telnet 11211, jika port 11211 terbuka, mungkin terpengaruh
Periksa status proses: ps -aux | grep memcached
2. Gunakan "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP address 11211", jika konten yang dikembalikan tidak kosong, ini menunjukkan bahwa server Anda mungkin terpengaruh.
Larutan:
1. Jika Anda menggunakan layanan Memcached dan membuka port UDP 11211, disarankan agar Anda menggunakan kebijakan grup keamanan ECS atau kebijakan firewall lainnya untuk memblokir port UDP 11211 ke arah jaringan publik sesuai dengan situasi bisnis untuk memastikan bahwa server Memcached dan Internet tidak dapat diakses melalui UDP.
2. Disarankan agar Anda menambahkan parameter "-U 0" untuk memulai ulang layanan memcached dan menonaktifkan UDP sepenuhnya.
3. Memcached telah secara resmi merilis versi baru yang menonaktifkan port UDP 11211 secara default, disarankan agar Anda meningkatkan ke versi terbaru 1.5.6.Alamat unduhan: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Nilai SHA periksa integritas file: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Disarankan agar Anda memperkuat keamanan layanan Memcached yang sedang berjalan, seperti mengaktifkan pengikatan IP mendengarkan lokal, melarang akses eksternal, menonaktifkan protokol UDP, dan mengaktifkan otentikasi login dan fungsi keamanan lainnya untuk meningkatkan keamanan Memcached.
Klik untuk view Manual Pengerasan Layanan Memcached terperinci.
Metode verifikasi:
Setelah perbaikan selesai, Anda dapat menggunakan metode berikut untuk menguji apakah perbaikan server efektif:
1. Jika Anda telah memblokir port protokol TCP eksternal 11211, Anda dapat menggunakan perintah "telnet ip 11211" pada komputer kantor jaringan eksternal, jika koneksi kembali gagal, itu berarti port protokol TCP eksternal 11211 telah ditutup;
2. Jika Anda telah menonaktifkan protokol UDP untuk layanan Memcached di server Anda, Anda dapat menjalankan "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u alamat IP 11211" untuk memeriksa apakah protokol UDP layanan memcached dimatikan, periksa konten yang dikembalikan, jika konten yang dikembalikan kosong, itu berarti server Anda telah berhasil memperbaiki kerentanan, Anda juga dapat menggunakan "netstat -an |" grep udp" untuk melihat apakah port UDP 11211 mendengarkan, jika tidak, protokol UDP memcached telah berhasil dimatikan. |
Diposting pada 07/03/2018 16.43.08
|
|
|
