70,000 servidores que usan Memcached pueden ser hackeados

memcached-remote-code-execution-vulnerabilities.png

El problema en si no es Mem-cache, estas vulnerabilidades fueron descubiertas hace unos 8 meses y ya fueron parchadas, pero para que esos parches tengan efectividad los sysadmins deben encargarse de actualizar su versión de Memcache.

Estas vulnerabilidades, descritas en CVE-2016-8704CVE-2016-8705 y CVE-2016-8706 permiten que el atacante obtenga permisos para la ejecución remota de codigo en el servidor.

Escaneos sobre multiples servidores han revelado que secra de 108,000 servidores que usan Memcache son vulnerables y solo 24,000 requieren autenticación. El hecho de que tantos servidores accesibles publicamente sin autenticación es lo suficientemente malo, pero tambien se han hecho pruebas para las tres vulnerabilidades arriba descritas y se encontraron qeu solo 200 servidores de los que requieren autenticación tienen los parches, el resto puede ser hackeado via una vulnerabilidad en SASL.

Entonces, unos 85,000 o un 80% de todos lso servivdores que usan Memcached expuestos a Internet tienen problemas de seguridad para estas tres fallas. Talos (Una división de seguridad de CISCO Systems) ha decidio correr queries whois a las IP de cada uno de estos servidores y ha enviado notifaciones via correo electrónico a los propietarios

A principiso de este mes los investigadores decidieron re-hacer sus escaneos y encontraron que aun hay 106,000 serviodres expuestos en internet aunque 28,500 tienen diferentes IPs diferentes a los que fueron encontrado en Febrero.

De esos  106,000 servidores, 73,000 o cerca del 70 % continua siendo vulnerable a estos tres exploits, cerca de 18,000 de los servidores identificados requieren autenticación y un 99% de estos continuan teniendo la vulnerabilidad SASL.

 

Entonces el problema viene de quienes se encargan de mantener dichos servidores que  hacen un mal trabajo en mantener la seguridad de sus servidores y por ende, la seguridad de la información de sus usuarios.