外媒 3 月 7 日消息，网络安全公司 Corero 表示他们发现了一种能够抵消 Memcached DDoS 攻击的 “ kill switch ” —— 主要依赖于将命令发送回攻击服务器来抑制 DDoS 攻击，使含有漏洞的服务器缓存失效，以致攻击者种植的任何潜在的恶意 playload 都将变得毫无用处。另外，Corero 指出，该漏洞可能比最初认为的更为深远：除了 DDoS 反射放大攻击之外，由于 Memcached 服务器不需要身份验证，该漏洞也可被用来从本地网络或主机中窃取或修改数据，其中包括机密数据库记录、网站客户信息、电子邮件、API 数据、Hadoop 信息等。 根据 Corero 的说法，他们已经在服务器上测试这一对抗方案，结果证明 “ kill switch ”充分有效，并且不会造成附带损害。 其实 Memcached 服务器安全性欠佳并不是一个新问题，因为包括 Gevers 在内的许多安全专家在这方面早已发出警告，然而问题至今为止可能仍被忽略，随着基于 Memcached DDoS 攻击的 PoC 代码的在线发布，漏洞修复已经迫在眉睫。 消息来源：Securityweek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 2 月 27 消息，Cloudflare 和 Arbor Networks 公司于周二警告称，恶意攻击者正在滥用 memcached 协议发起分布式拒绝服务（DDoS）放大攻击，全球范围内许多服务器（包括 Arbor Networks 公司）受到影响。 memcached 是一个高性能的分布式内存对象缓存系统，用于动态 Web 应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数，从而提高动态、数据库驱动网站的速度。此外，客户端可以通过端口 11211 上的 TCP 或 UDP 与 memcached 服务器进行通信。 在此次（DDoS）放大行动中，攻击者使用与受害者 IP 相匹配的假冒 IP 地址，将请求发送到端口 11211 上的目标服务器。虽然攻击者发送到服务器的请求仅仅只有几个字节，但其响应却比正常的要高出数万倍，这种情况可能会带来严重的攻击行动。 Cloudflare 认为攻击者显然是在滥用已启用 UDP 的无保护的 memcached 服务器。这些服务器来自世界各地，但主要是在北美和欧洲范围内，目前大部分服务器由由 OVH，DigitalOcean 和 Sakura 托管。 目前 Cloudflare 观察到的最大的 memcached DDoS 攻击峰值为 260 Gbps，但 Arbor Networks 称其发现的攻击峰值已达到 500 Gbps，甚至可能还会更高。Arbor Networks 指出，这些攻击中使用的查询类型也可以针对 TCP 端口 11211，但由于 TCP 查询不能真实被欺骗，因此该协议被滥用的可能性并不高。 根据 CDN （内容交付网络）监控的攻击数据来看，目前大约有 5700个与 memcached 服务器相关的 IP 地址，但专家预计未来会发现更大的攻击，因为 Shodan 显示了将近 88,000 个开放式服务器。目前大部分暴露的系统是在美国，其次是中国和法国。 Cloudflare 建议在非必要的情况下禁用 UDP 支持，并提醒系统管理员确保他们的服务器不能从 Web 访问。另外，互联网服务提供商（ISP）也可以通过修复易受攻击的协议和 防止 IP 欺骗来帮助减少这种或者其他类型的放大攻击。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

2016 年底，Cisco Talos 团队在 Memcached 系统中发现三处远程代码执行漏洞（ CVE-2016-8704、CVE-2016-8705 与 CVE-2016-8706）并发布修复补丁。然而，时隔 8 个月的调查结果显示，目前运行 Memcached 应用程序的数万台服务器仍易遭受黑客攻击，允许窃取用户敏感数据。 Memcached 是当下一款流行的开源、易部署、分布式缓存系统，允许目标对象存储在内存之中。Memcached 应用程序通过减少数据库压力加速动态 Web 应用程序（例如用 php 语言搭建的网站），帮助管理员提高性能、扩展 Web 应用。 Talos 研究人员分别于今年 2 月与 7 月两个不同场景针对运行 Memcached 应用程序的服务器进行全网扫描，结果令人惊讶。 2 月扫描结果： 互联网上公开暴露的服务器总数：107,786 台 仍存在漏洞的服务器总数：85,121 台 虽存在漏洞，但需要身份验证的服务器总数：23,707 台 分析显示，威胁指数排名前五的国家分别是美国、中国、英国、法国与德国。 7月扫描结果： 互联网上公开暴露的服务器总数：106,001 台 仍存在漏洞的服务器总数：73,403 台 虽存在漏洞，但需要身份验证的服务器总数：18,012 台 研究人员在对比两次扫描结果后发现，2 月扫描出的漏洞服务器仅有 2,958 台得到修复，剩下服务器仍易遭受黑客攻击。Talos 研究人员警示，这些易受攻击的 Memcached 服务器安装程序极有可能成为勒索软件攻击的主要目标，类似于去年 12 月下旬公布的 MongoDB 数据库攻击事件。虽然 Memcached 不是数据库，但仍包含大量敏感信息，服务中断定会危及到其他服务。 此外，Memcached 漏洞还允许黑客将缓存内容替换成用于破坏网站、提供网络钓鱼页面、勒索威胁与恶意链接、劫持目标机器的恶意程序，致使数千万用户面临网络攻击风险。 目前，研究人员建议相关用户尽快修复漏洞，即便是在“可信”环境中部署的 Memcached 服务器也不例外，因为获得访问权限的攻击者可能会针对漏洞服务器在网络中进行横向扩张。 原作者：Swati Khandelwal，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。