Memcache反射放大攻擊 或影響主干網絡

文/鄭先偉

近期，一種名為Memcache反射放大攻擊的拒絕服務攻擊在網絡攻擊流量占比中有增加的趨勢。這種攻擊利用了Memcache服務程序的漏洞，通過發送偽造源發地址的數據包到Memcache服務器的UDP 11211端口來進行反射放大攻擊。Memcache是一個高性能的分布式內存對象緩存系統，由LiveJournal的Brad Fitzpatrick開發。Memcache服務會在內存里維護一個統一且巨大的Hash表，它能夠用來存儲各種格式的數據，包括圖像、視頻、文件以及數據庫檢索的結果等。簡單的說就是將數據調用到內存中，然后從內存中讀取，從而大大提高讀取速度。目前該服務被大量運用于各種云服務中，用于對網站系統進行加速。Memcache協議支持Tcp和Upd數據，默認的Udp服務端口是11211，早期版本的Memcache服務無需驗證就可對外提供服務，由于內部實現機制的錯誤，向該服務發送一個很小的查詢包有可能返回巨大的查詢結果，如果惡意的攻擊者偽造源發地址（被攻擊者的IP）向網絡上的Memcache發送查詢數據包，就可以造成反射放大攻擊，得益于Memcache服務的高性能，這類反射放大攻擊能將攻擊流量放大到原始查詢流量的千倍以上。因放大的倍數非常大，這種簡單易行的放大攻擊正在被越來越多的人利用，需要引起廣大Memcache管理員的注意。

2018年1～3月安全投訴事件統計

近期沒有新增影響特別廣泛的蠕蟲病毒。

1. 微軟2018年2月的安全公告修補的漏洞數量較少只有54個。而3月的安全公告修補的漏洞數量則大幅增多，達到228個。利用這些漏洞，攻擊者可以遠程執行任意代碼、權限提升、繞過權限限制獲取敏感信息或是拒絕服務攻擊等。用戶應該盡快使用Windows自帶的Update功能進行更新。

2. Adobe公司在2月及3月的例行修補中發布了多個安全公告，其中包括APSA18-02和APSA18-05兩個，前者用于更新Adobe Acrobat/Reader軟件，后者用于更新Flash Player軟件。這兩個更新修補了相關產品中的多個安全漏洞，其中包括兩個0day漏洞，分別是Adobe Acrobat/Reader中存在遠程溢出漏洞（CVE-2018-4901）和Flash player零日攻擊漏洞（CVE-2018-4878）。

3. Apache Tomcat 7、8、9版本中存在安全繞過漏洞（CVE-2018-1304、CVE-2018-1305），攻擊者可以利用上述漏洞繞過某些安全限制來執行未經授權的操作。Tomcat 里的Servlet可以分層并設置安全規則。通常安全規則會被設置在第一層Servlet中，其下層Servlet可以直接繼承上層Servlet的安全規則。但是Apache Tomcat 在解析Servlet安全規則時存在錯誤，安全規則只在該Servlet加載后才被應用。攻擊者如果通過URL直接訪問下層的Servlet，由于第一級的Servlet并未加載，安全規則并未生效原本應該被繼承的安全規則就會被忽略掉，這將導致惡意的擊者越權訪問服務器上的敏感信息。使用了Tomcat的系統管理員應該盡快確認自己使用的版本是否受漏洞影響并及時修正漏洞。

4. Exim是一個MTA（Mail Transfer Agent，郵件傳輸代理）服務器軟件。Exim 4.90.1之前版本中SMTP偵聽器'base64d()'解碼函數在發送Handcrafted消息時存在緩沖區溢出漏洞（CVE-2018-6789），由于Exim未能充分檢查用戶提供的數據。攻擊者可利用該漏洞繞過了ASLR、PIE、NX等系統通用系統緩解措施，在受影響的應用程序上下文中執行任意代碼，若攻擊嘗試失敗仍可導致拒絕服務。如果您的郵件服務器中使用相關程序，應該盡快進行升級。官方的升級信息如下：https://www.exim.org/mirmon/ftp_mirrors.html

安全提示

由于Memcache反射放大攻擊的簡便和有效，未來一段時間里類似的攻擊流量占比會有增長趨勢，并且這類攻擊的流量可以達到T級別，可能會對主干網絡的流量帶來影響。由于Memcache加速服務多數是云內部的服務，它的11211端口并不需要向云外部的用戶提供，因此建議可以從三個方面來對相關攻擊進行限制：

1. 從網絡邊界處禁封UDP 11211端口（校園網邊界或是數據中心邊界）。

2. 升級Memcache服務到最新版或者將Memcache服務端口綁定到127.0.0.1而不是外網地址。（可以通過掃描服務的手段來確定開放了外網服務的Memcache IP）。

3. 需要注意的是除了云服務中自己安裝的Memcache服務，一些其他的網絡服務程序（如Zimbra郵件服務程序）會在程序中封裝Memcache，管理員可以通過查看系統上的服務端口（UDP 11211）是否開放，如果開放請按上面的方式處置。