Memcached es ampliamente utilizado por miles y miles de sitios web
Hey Webmaster, ¿Estás utilizando Memcached para aumentar el rendimiento de tu sitio web?
¡Cuidado! Puede ser que sea vulnerable a los hackers remotos.
Se han reportado en Memcached tres vulnerabilidades críticas de ejecución remota de código por el investigador de seguridad Aleksandar Nikolich en Cisco Grupo Talos que exponen a los piratas informáticos los principales sitios web, como Facebook, Twitter, YouTube, Reddit.
Memcached es una pieza fabulosa de sistema de caché distribuido de código abierto que permite almacenar objetos en la memoria. Ha sido diseñado para acelerar aplicaciones web dinámicas al reducir el estrés en la base de datos, lo que ayuda a los administradores a aumentar el rendimiento y escalar las aplicaciones web.
Memcached es ampliamente utilizado por miles y miles de sitios web, incluyendo sitios de redes sociales populares como Facebook, Flickr, Twitter, Reddit, YouTube, Github y muchos más (yo no lo uso).
Nikolich dice que descubrió en Memcached varios errores de desbordamiento de entero que podrían ser explotadas para ejecutar remotamente código arbitrario en el sistema de destino, lo que compromete muchos sitios web exponiendo los servidores con Memcached accesibles a través de Internet.
Las vulnerabilidades residen en realidad en "diversas funciones de Memcached que se utilizan en la inserción, añadido, anteponer, o modificar pares de datos de valores clave".
CVE-2016-8704 : Una vulnerabilidad de ejecución remota de código en Memcached Server Agregar/Preagregar
CVE-2016-8705 : Vulnerabilidad de ejecución en el Servidor de actualización remota de código de Memcached
CVE-2016-8706 : Vulnerabilidad de ejecución remota de código de autenticación SASL en el Servidor Memcached
Los piratas informáticos pueden robar información confidencial remotamente
Si se explotan, las vulnerabilidades podrían permitir a los atacantes enviar repetidos comandos de Memcached elaborados específicamente para los servidores de destino.
Por otra parte, los defectos también podrían ser explotados para filtrar información delicada, proceso que se puede utilizar para evitar mitigaciones estándar de explotación como ASLR (Address Space Layout Randomisation), haciendo que los ataques sean fiables y considerablemente "severos".
De manera predeterminada, el servicio Memcached instalado en el servidor está disponible para todo el mundo en el puerto TCP 11211, por lo que siempre se ha recomendado fuertemente limitar su acceso dentro de un entorno de confianza, detrás del firewall, o cambiar el número de puerto en que escucha Mencached.
Por lo tanto, si todavía no has actualizado tu software a la última versión y el servicio Memcached es públicamente accesible, un atacante puede explotar facilmente sin tu conocimiento estas vulnerabilidades para robar de forma remota la información sensible almacenada en caché por el servidor.
¿Qué es aún peor? Estas fallas podrían permitir a los hackers reemplazar contenido almacenado en caché con su código malicioso con el fin de desfigurar el sitio web, servir páginas de phishing y enlaces maliciosos para secuestrar la máquina de la víctima, poniendo en riesgo a cientos de millones de usuarios en línea.
¡Arregla ahora tu servidor Memcached!
Las fallas de desbordamiento de entero en Memcached afectan a la versión Memcached 1.4.31 y anteriores.
El investigador notificó a Memcached de los defectos y a la empresa sólo le llevó dos días en construir un parche el 31 de octubre.
Memcached dice que los defectos críticos para la ejecución remota de código "están relacionados con el protocolo binario, así como la autenticación SASL del protocolo binario", pero no se ha solucionado en la última versión.
Se recomienda a los clientes aplicar el parche incluso para los despliegues de Memcached en "ambientes de confianza", ya que los atacantes con acceso existente podrían dirigirse a servidores vulnerables para moverse lateralmente dentro de esas redes.
