Almacenamiento en el Cache, Memcached
Open Source

Encuentran vulnerabilidades en el sistema de MEMCACHED

Profile picture for user Gelet Martínez
by Gelet Martínez
posted onMay 19, 2017
nocomment

¿Estás usando Memcached para aumentar el rendimiento de tus sitios web? ¡Cuidado! Tu sitio podría encontrarse vulnerable a hackers remotos sin tu conocimiento.

Memcached es un sistema libre y de código-abierto (open source) para la distribución rápida de almacenamiento en el cache. Está implementado para mejorar el rendimiento de una base de datos convencional, permitiéndonos realizar consultas a alta velocidad y salir fácilmente de situaciones de bloqueos. Comúnmente se emplea para acelerar el rendimiento de páginas web dinámicas, ya que reduce la carga de trabajo en la base de datos.

¡Millones y millones de usuarios podrían encontrarse en riesgo! 

Miles y miles de sitios web, incluidas redes sociales como Facebook, Twitter, Flickr, Menéame, Youtube y GitHub lo utilizan, y podrían ser explotados por hackers.

Recientemente, el investigador de seguridad Aleksandar Nikolich, de la compañía Cisco Talos identificó tres vulnerabilidades zero-day de ejecución remota (Remote Code Execution). Entre los sitios web expuestos a hackers, se encontraban Facebook, Twitter, YouTube, entre otros.

Alguien podría explotar estas vulnerabilidades enviando al servidor destinado una señal específicamente diseñada para los comandos de Memcached. Por si fuera poco, se podrían explotar estas fallas para provocar una fuga sensible en los procesos de información, que a su vez el hacker podría usar para atacar múltiples veces y comprometer otros servidores.

DETALLES DE VULNERABILIDAD

Las vulnerabilidades según identificó Talos, residen en las siguientes funciones:

TALOS-2016-0219 – Memcached Server Append/Prepend Remote Code Execution Vulnerability

TALOS-2016-0220 – Memcached Server Update Remote Code Execution Vulnerability

TALOS-2016-0221 – Memcached Server SASL Authentication Remote Code Execution Vulnerability

Memcached por defecto está disponible en el puerto TCP 11211, por lo que siempre se ha recomendado limitar su acceso dentro de un entorno de confianza y una infraestructura segura detrás de un firewall.

QUE HACER?

El investigador notificó a Memcached de las fallas y la compañía construyó un parche rápidamente. Estas fallas le permitirían a los hackers reemplazar el contenido almacenado en el caché por uno malicioso y desfigurar el sitio web, además de servir páginas fraudulentas y enlaces maliciosos para ‘secuestrar’ el ordenador de las víctimas.

Se recomienda a los clientes aplicar el parche incluso a las implementaciones de Memcached en entornos confiables “trusted”. Los defectos se encontraron en la versión 1.4.31 de Memcached y todas las versiones anteriores. Los agresores con acceso existente podrían atacar servidores vulnerables y desplazarse de forma lateral dentro de esas redes.

Links