www.belgium.be Logo of the federal government

Description

Ce rapport identifie des hôtes disposant d’un « Memcached key-value store » et accessibles depuis Internet. Puisque ce service ne requiert pas d’authentification, toute entité pouvant accéder à l'instance Memcached peut obtenir un contrôle total sur le « key-value store ». En outre, les instances de Memcached accessibles via UDP (Port 11211) peuvent être utilisées de manière abusive dans le cadre d'attaques par « Déni de service » (DoS – Denial of Service) avec amplification.

 

Évaluation

Les entrées de ce rapport correspondent à des hôtes dont le service Memcached est exposé à Internet. Ce service présente une vulnérabilité grave qui a été corrigée dans la version 1.5.6. Comme le montre le rapport, de nombreux hôtes disposent d’un service Memcached plus ancien que cette version. Cela permet aux pirates informatiques de perpétrer une attaque par « Déni de service » avec amplification avec un facteur multiplicateur d'amplification allant jusqu'à 51 000 (!). Il est assez facile d'identifier ce service et sa version, ainsi que d'effectuer une attaque par « déni de service » avec amplification. Par conséquent, la probabilité est élevée. L'impact d'une attaque par « déni de service » avec amplification est jugé élevé dans ce cas, en raison de la taille gigantesque du facteur d'amplification.

    Recommandations

    • Restreindre l'accès aux réseaux internes.
    • Si un accès à distance est nécessaire : utilisez un VPN.
    • Désactiver l'UDP sur le serveur memcached.

    Références

    Shadow Server – Memcached Scanning Project

    Memcached – Homepage

    Cloudflare – Memcached DDoS Attack