Šią savaitę "Alibaba Cloud Security Center" aptiko kenkėjiškas atakas internete, naudodamas "Memcached" paslaugos pažeidžiamumą. Jei klientas atidaro UDP protokolą pagal numatytuosius nustatymus ir nenaudoja prieigos kontrolės, įsilaužėliai gali išnaudoti "Memcached" paslaugą, kai ją paleidžia, todėl išeinančio pralaidumo arba procesoriaus išteklių suvartojimas.
"Alibaba Cloud Cloud Cloud Database Memcache Edition" nenaudoja UDP protokolo ir pagal numatytuosius nustatymus ši problema jai neturi įtakos. Tuo pačiu metu "Alibaba Cloud" primena vartotojams atkreipti dėmesį į savo verslą ir pradėti skubius tyrimus.
Pažeistos sritys:
Vartotojas sukūrė "Memcached" paslaugą "Memcached 11211 UDP" prievade.
Tyrimo planas:
1. Norėdami patikrinti, ar "Memcached 11211" UDP prievadas atidarytas iš išorinio interneto, galite naudoti nc įrankį, kad patikrintumėte prievadą ir sužinotumėte, ar serveryje veikia "Memcached" procesas.
Bandymo prievadas: nc -vuz IP adresas 11211
Patikrinkite, ar memcached paslauga yra atvira visuomenei: telnet IP adresas 11211, jei atidarytas prievadas 11211, tai gali būti paveikta
Patikrinkite proceso būseną: ps -aux | grep memcached
2. Naudokite "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP adresas 11211", jei grąžinamas turinys nėra tuščias, tai rodo, kad gali būti paveiktas jūsų serveris.
Sprendimas:
1. Jei naudojate "Memcached" paslaugą ir atidarote 11211 UDP prievadą, rekomenduojama naudoti ECS saugos grupės strategiją arba kitas ugniasienės strategijas, kad užblokuotumėte UDP 11211 prievadą viešojo tinklo kryptimi pagal verslo situaciją, kad "Memcached" serverio ir interneto nebūtų galima pasiekti per UDP.
2. Rekomenduojama pridėti parametrą "-U 0", kad iš naujo paleistumėte memcached paslaugą ir visiškai išjungtumėte UDP.
3. "Memcached" oficialiai išleido naują versiją, kuri pagal numatytuosius nustatymus išjungia UDP 11211 prievadą, rekomenduojama atnaujinti į naujausią 1.5.6 versiją.Atsisiuntimo adresas: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Failo vientisumo tikrinimo SHA reikšmė: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Rekomenduojama sustiprinti veikiančios "Memcached" paslaugos saugumą, pvz., įjungti vietinio klausymosi IP susiejimą, uždrausti išorinę prieigą, išjungti UDP protokolą ir įjungti prisijungimo autentifikavimą bei kitas saugos funkcijas, kad pagerintumėte "Memcached" saugumą.
Spustelėkite, kad peržiūrėtumėte išsamų "Memcached" paslaugos grūdinimo vadovą.
Patikrinimo metodas:
Kai pataisymas bus baigtas, galite naudoti šiuos metodus, kad patikrintumėte, ar serverio pataisymas yra veiksmingas:
1. Jei užblokavote išorinį TCP protokolo 11211 prievadą, išorinio tinklo biuro kompiuteryje galite naudoti komandą "telnet ip 11211", jei grįžtamasis ryšys nepavyksta, tai reiškia, kad išorinis TCP protokolo 11211 prievadas buvo uždarytas;
2. Jei savo serveryje išjungėte "Memcached" paslaugos UDP protokolą, galite paleisti šiuos "echo -en "\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP adresas 11211", kad patikrintumėte, ar memcached paslaugos UDP protokolas yra išjungtas, patikrinkite grąžintą turinį, jei grąžintas turinys tuščias, tai reiškia, kad jūsų serveris sėkmingai ištaisė pažeidžiamumą, taip pat galite naudoti "netstat -an |" grep udp", kad pamatytumėte, ar UDP 11211 prievadas klausosi, jei ne, memcached UDP protokolas buvo sėkmingai išjungtas. |
Paskelbta 2018-03-07 16:43:08
|
|
|
