dongnan
总版主
总版主
  • 粉丝52
  • 发帖数2157
  • 铜币13052枚
  • 威望5788点
  • 银元150个
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 原创写手
阅读:673回复:0

[漏洞] Memcached UDP反射攻击漏洞

楼主#
更多 发布于:2018-03-06 10:34
概述
近日收到阿里云.云盾通知,其监测到互联网上存在利用 Memcached服务漏洞进行的恶意攻击。如果默认开放UDP协议且未做访问控制,在运行Memcached服务时可能会被黑客利用,导致出方向的带宽消耗或CPU资源消耗。
 
影响范围
对外开放了 Memcached 11211 UDP 端口的 Memcached服务。
 
排查方法
1. 从外部互联网测试是否对外开放了Memcached 11211 UDP端口,可以使用 nc 工具测试端口.
# 没有任何输出表示安全
nc -vuz Your_Memcached_Host 11211

# 如果输出链接成功,则存在漏洞
nc -vuz Your_Memcached_Host 11211
Connection to oma 11211 port [udp/memcache] succeeded!

2. 或者在 Memcache 服务器上执行以下命令,若返回内容非空,则表明您的服务器可能受影响。
echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc  -u 127.0.0.1 11211 #注意 127.0.0.1 换成你的监听IP

解决方案
1. 建议根据业务自身情况,使用防火墙策略封禁 UDP 11211端口,确保 Memcached 服务与互联网之间无法通过UDP端口来访问;

2. 建议对在运行的 Memcached服务进行安全加固,添加 “-U 0” 参数完全禁用 UDP 端口;
例如:启动绑定本地监听IP,禁止对外访问、禁用UDP协议、启用登录认证等安全功能,提高 Memcached安全性;
memcached -u root -d -m 1024 -c 2000 -l Your_Host_LAN_IP -p 11211 -P /var/run/memcached.pid -U 0
# 参数
memcached -h | grep '\-U <num>'
-U <num>      UDP port number to listen on (default: 11211, 0 is off)

3. Memcached 官方已经发布新版本默认禁用 UDP 11211端口,建议升级到1.5.6 新版本

参考自: 阿里云.公告列表
游客

返回顶部