Description
Ce rapport identifie des hôtes disposant d’un « Memcached key-value store » et accessibles depuis Internet. Puisque ce service ne requiert pas d’authentification, toute entité pouvant accéder à l'instance Memcached peut obtenir un contrôle total sur le « key-value store ». En outre, les instances de Memcached accessibles via UDP (Port 11211) peuvent être utilisées de manière abusive dans le cadre d'attaques par « Déni de service » (DoS – Denial of Service) avec amplification.
Évaluation
Les entrées de ce rapport correspondent à des hôtes dont le service Memcached est exposé à Internet. Ce service présente une vulnérabilité grave qui a été corrigée dans la version 1.5.6. Comme le montre le rapport, de nombreux hôtes disposent d’un service Memcached plus ancien que cette version. Cela permet aux pirates informatiques de perpétrer une attaque par « Déni de service » avec amplification avec un facteur multiplicateur d'amplification allant jusqu'à 51 000 (!). Il est assez facile d'identifier ce service et sa version, ainsi que d'effectuer une attaque par « déni de service » avec amplification. Par conséquent, la probabilité est élevée. L'impact d'une attaque par « déni de service » avec amplification est jugé élevé dans ce cas, en raison de la taille gigantesque du facteur d'amplification.
Recommandations
- Restreindre l'accès aux réseaux internes.
- Si un accès à distance est nécessaire : utilisez un VPN.
- Désactiver l'UDP sur le serveur memcached.
Références
Shadow Server – Memcached Scanning Project
Memcached – Homepage
Cloudflare – Memcached DDoS Attack