www.belgium.be Logo of the federal government

Beschrijving

Dit verslag identificeert hosts die over een Memcached key-value store beschikken en die toegankelijk zijn via het internet. Aangezien deze dienst geen authenticatie vereist, kan elke entiteit die toegang heeft tot de Memcached-instance de volledige controle krijgen over de key-value store. Bovendien kan er in het kader van denial of service-aanvallen door middel van amplificatie misbruik worden gemaakt van de Memcached-instanties die toegankelijk zijn via UDP.

Beoordeling

De elementen in dit verslag zijn hosts waarvan de Memcached-dienst is blootgesteld aan het internet. Deze dienst vertoont een ernstige kwetsbaarheid, die in versie 1.5.6 is gepatcht. Zoals het verslag aantoont, beschikken veel hosts over een oudere Memcached-dienst dan deze versie. Hierdoor kan een hacker een DoS-amplificatie-aanval met een amplificatiefactor tot 51 000 (!) uitvoeren. Het is vrij eenvoudig om deze dienst en versie te identificeren, en ook om een DoS-amplificatieaanval uit te voeren. De waarschijnlijkheid is dus groot. De impact van een DoS- amplificatieaanval is in dit geval hoog, vanwege de enorme amplificatiefactor.

    Aanbevelingen

    • Beperk de toegang tot de interne netwerken.

    • Als toegang op afstand noodzakelijk is, gebruik dan een VPN.
    • Deactiveer het UDP op de memcached-server.

    Referenties

    Shadow Server – Memcached Scanning Project

    Memcached – Homepage

    Cloudflare – Memcached DDoS Attack