Memcached

هیچ‌چیزی در این جهان کاملاً ایمن نیست، از مرزهای ما گرفته تا فضاهای مجازی. همه ما می‌دانیم که آسیب‌پذیری‌ها خوب نیستند اما نکته قابل تأسف اینجاست که کاربران اهمیتی به وصله کردن دستگاه‌های خود نمی‌دهند.

در اواخر سال گذشته، گروه تحقیقات و هوش شرکت سیسکو به نام Talos سه آسیب‌پذیری اجرای کد از راه دور حیاتی را در Memcached کشف کرد که بسیاری از وب‌سایت‌ها نظیر فیس‌بوک، تویتر، یوتیوب و Raddit را در معرض حمله مهاجمان قرار می‌داد[۱].

Memcached یک سیستم caching توزیع شده محبوب و منبع باز است که به‌راحتی قابل‌گسترش بوده و به objectها اجازه می‌دهد تا در حافظه ذخیره شوند.

برنامه Memcached به‌گونه‌ای طراحی شده است که سرعت برنامه تحت وب دینامیکی (برای مثال وب‌سایت‌های بر پایه php) را توسط کاهش فشار در پایگاه داده افزایش داده که این امر به مدیران کمک می‌کند تا کارایی برنامه‌های تحت وب را افزایش دهند.

در حال حاضر حدود ۸ ماه از زمانی که سازندگان Memcached وصله‌های مربوط به سه آسیب‌پذیری اجرای کد از راه دورِ کشف‌شده را با نام‌های CVE-2016-8704، CVE-2016-8705 و CVE-2016-8706 منتشر کردند، می‌گذرد اما ده‌ها هزار سروری که برنامه memchached را اجرا می‌کنند همچنان به این آسیب‌پذیری‌ها حساس هستند و به مهاجمان اجازه می‌دهند تا از راه دور اطلاعات حساس آن‌ها را بدزدند.

محققان شرکت Talos یک جستجوی اینترنتی را در دو زمان متفاوت انجام دادند[۲]، یکی از این جستجوها در اواخر ماه فوریه ۲۰۱۷ انجام شده است و دیگری در ماه جولای ۲۰۱۷ و به‌منظور پیدا کردن تعداد سرورهایی که همچنان در حال اجرای برنامه Memcached آسیب‌پذیر هستند.

نتیجه این جستجوها بسیار جالب است.

نتیجه جستجوی ماه فوریه ۲۰۱۷:

تعداد سرورهای موجود در اینترنت: ۱۰۷٫۷۸۶ عدد

سرورهایی که همچنان آسیب‌پذیر هستند: ۸۵٫۱۲۱ عدد

سرورهایی که همچنان آسیب‌پذیر هستند اما نیاز به احراز هویت دارند: ۲۳٫۷۰۷ عدد

و ۵ کشوری که بیشترین تعداد سرورهای آسیب‌پذیر در آن‌ها قرار داشت عبارت‌اند از آمریکا، چین، انگلستان، فرانسه و آلمان.

نتیجه جستجوی ماه جولای ۲۰۱۷:

تعداد سرورهای موجود در اینترنت: ۱۰۶٫۰۰۱ عدد

سرورهایی که همچنان آسیب‌پذیر هستند: ۷۳٫۴۰۳ عدد

سرورهایی که همچنان آسیب‌پذیر هستند اما نیاز به احراز هویت دارند: ۱۸٫۰۱۲ عدد

بعد از مقایسه نتایج دو جستجوی انجام شده، محققان دریافتند که فقط ۲٫۹۵۸ سرور  از سرورهایی که در ماه فوریه آسیب‌پذیر بودند در ماه جولای وصله شده بودند. این در حالی است که بقیه سرورهای آسیب‌پذیر همچنان نسبت به حمله از راه دور آسیب‌پذیر هستند.

رخنه‌های اطلاعاتی و تهدیدات باج‌‌خواهی

این نادیده‌گیری برای اعمال وصله‌ها از سوی سازمان‌ها نگران‌کننده است، چراکه محققان Talos هشدار داده‌اند که این دستگاه‌های آسیب‌پذیر می‌توانند به‌راحتی مورد حملات از نوع باج‌گیر افزار قرار گیرند که مشابه این حملات را در ماه دسامبر ۲۰۱۶ و علیه پایگاه داده MangoDB شاهد بودیم[۳].

همچنین برخلاف MangoDB برنامه Memcached نوعی پایگاه داده نیست اما همچنان می‌تواند شامل اطلاعات حساس باشد و اختلال در دسترسی به این‌گونه خدمات قطعاً منجر به اختلالات بیشتر در خدمات وابسته خواهد شد.

این آسیب‌پذیری در Memcached می‌تواند به مهاجمان اجازه دهد تا محتویات cached را با نوع cached مخرب جایگزین کنند تا بتوانند وب‌سایت موردنظر را Deface کنند، صفحات phishing را راه‌اندازی کنند، تهدیدات از نوع باج‌گیری را پیاده‌سازی کرده و لینک‌های مخرب را به‌منظور hijack کردن دستگاه فرد قربانی به‌کارگیرند و میلیون‌ها کاربر را در معرض خطر قرار دهند.

محققان دراین‌باره می‌گویند: “با توجه به حملات بسیار زیاد از نوع worm که از آسیب‌پذیری‌ها بهره‌برداری می‌کنند، مدیران سیستم‌ها در سراسر جهان باید نسبت به این حملات هوشیار باشند. اگر این آسیب‌پذیری‌ها جدی گرفته نشوند می‌توانند مورد بهره‌برداری قرارگرفته تا به‌طورجدی بر روی سازمان‌ها و کسب‌وکارهای بزرگ در سراسر دنیا اثر گذارند. به مدیران سیستم‌ها اکیداً توصیه می‌شود تا سیستم‌هایی که هنوز نسبت به این آسیب‌پذیری حساس هستند را هر چه سریع‌تر وصله کرده تا میزان حملات را کاهش دهند.”

به مشتریان و سازمان‌ها توصیه می‌شود تا هرچه سریع‌تر وصله‌های مربوط به Memcached را در یک محیط قابل‌اعتماد اعمال کنند چراکه مهاجمانی که در حال حاضر به سرورهای آسیب‌پذیر دسترسی دارند می‌توانند از طریق شبکه به دیگر سرورهای متصل نیز دسترسی داشته باشند.

 

منابع

[۱] http://thehackernews.com/2016/11/memcached-hacking.html

[۲] http://blog.talosintelligence.com/2017/07/memcached-patch-failure.html

[۳] http://thehackernews.com/2017/01/mongodb-database-security.html

[۴] http://thehackernews.com/2017/07/memcached-vulnerabilities.html