超过70000个Memcached服务器仍然容易受到远程黑客攻击

去年年底，思科的Talos intelligence and research group在Memcached中发现了三个关键的远程代码执行（RCE）漏洞，将Facebook、Twitter、YouTube、Reddit等主要网站暴露给黑客。

Memcached是一种流行的开源、易于部署的分布式缓存系统，它允许将对象存储在内存中。

Memcached应用程序旨在加速动态web应用程序(例如基于php的网站）通过减少对数据库的压力，帮助管理员提高性能和扩展web应用程序。

Memcached开发人员发布了三个关键RCE漏洞（CVE-2016-8704、CVE-2016-8705和CVE-2016-8706）的修补程序已经将近八个月了，但运行Memcached应用程序的数万台服务器仍然容易受到攻击，攻击者可以远程窃取敏感数据。

Talos的研究人员在两个不同的场合进行了互联网扫描，一次是在2月底，另一次是在7月，以查明有多少服务器仍在运行易受攻击的Memcached应用程序版本。

结果令人惊讶。

2月份扫描结果：

• 在互联网上公开的服务器总数:107,786
• 服务器仍然易受攻击:85,121
• 服务器仍然易受攻击，但需要身份验证,23,707

服务器最脆弱的前5个国家是美国，其次是中国、英国、法国和德国。

7月份扫描结果：

• 在互联网上公开的服务器总数，106,001
• 服务器仍然易受攻击，73,403
• 服务器仍然易受攻击，但需要身份验证，18,012

在比较了两次互联网扫描的结果后，研究人员了解到，在2月份的扫描中发现有漏洞的服务器中，只有2958台在7月份的扫描之前得到了修补，而其余的服务器仍然容易受到远程黑客攻击。

数据泄露:赎金威胁

组织对及时应用补丁的无知令人担忧，因为Talos研究人员警告说，这些易受攻击的Memcached安装可能很容易成为勒索软件攻击的目标，类似于12月底袭击MongoDB数据库的攻击。

虽然与MongoDB不同，Memcached不是一个数据库，但它仍然可能包含敏感信息，服务可用性的中断肯定会导致依赖服务的进一步中断。"

Memcached的缺陷可能会让黑客用恶意内容替换缓存内容，从而破坏网站、提供钓鱼页面、勒索威胁，以及劫持受害者机器的恶意链接，从而使数亿在线用户面临风险。

研究人员得出结论：“随着最近大量蠕虫攻击利用漏洞，这应该是世界各地管理员的一个危险信号。“如果不加以解决，这些漏洞可能会影响全球组织，并严重影响业务。强烈建议立即修补这些系统，以帮助减轻组织面临的风险”。

建议客户和组织尽快将该补丁应用于“受信任”环境中的Memcached部署，因为具有现有访问权限的攻击者可能会以易受攻击的服务器为目标，在这些网络中横向移动。