文/鄭先偉

近期，一種名為Memcache反射放大攻擊的拒絕服務(wù)攻擊在網(wǎng)絡(luò)攻擊流量占比中有增加的趨勢(shì)。這種攻擊利用了Memcache服務(wù)程序的漏洞，通過發(fā)送偽造源發(fā)地址的數(shù)據(jù)包到Memcache服務(wù)器的UDP 11211端口來進(jìn)行反射放大攻擊。Memcache是一個(gè)高性能的分布式內(nèi)存對(duì)象緩存系統(tǒng)，由LiveJournal的Brad Fitzpatrick開發(fā)。Memcache服務(wù)會(huì)在內(nèi)存里維護(hù)一個(gè)統(tǒng)一且巨大的Hash表，它能夠用來存儲(chǔ)各種格式的數(shù)據(jù)，包括圖像、視頻、文件以及數(shù)據(jù)庫檢索的結(jié)果等。簡(jiǎn)單的說就是將數(shù)據(jù)調(diào)用到內(nèi)存中，然后從內(nèi)存中讀取，從而大大提高讀取速度。目前該服務(wù)被大量運(yùn)用于各種云服務(wù)中，用于對(duì)網(wǎng)站系統(tǒng)進(jìn)行加速。Memcache協(xié)議支持Tcp和Upd數(shù)據(jù)，默認(rèn)的Udp服務(wù)端口是11211，早期版本的Memcache服務(wù)無需驗(yàn)證就可對(duì)外提供服務(wù)，由于內(nèi)部實(shí)現(xiàn)機(jī)制的錯(cuò)誤，向該服務(wù)發(fā)送一個(gè)很小的查詢包有可能返回巨大的查詢結(jié)果，如果惡意的攻擊者偽造源發(fā)地址（被攻擊者的IP）向網(wǎng)絡(luò)上的Memcache發(fā)送查詢數(shù)據(jù)包，就可以造成反射放大攻擊，得益于Memcache服務(wù)的高性能，這類反射放大攻擊能將攻擊流量放大到原始查詢流量的千倍以上。因放大的倍數(shù)非常大，這種簡(jiǎn)單易行的放大攻擊正在被越來越多的人利用，需要引起廣大Memcache管理員的注意。

2018年1～3月安全投訴事件統(tǒng)計(jì)

近期沒有新增影響特別廣泛的蠕蟲病毒。

1. 微軟2018年2月的安全公告修補(bǔ)的漏洞數(shù)量較少只有54個(gè)。而3月的安全公告修補(bǔ)的漏洞數(shù)量則大幅增多，達(dá)到228個(gè)。利用這些漏洞，攻擊者可以遠(yuǎn)程執(zhí)行任意代碼、權(quán)限提升、繞過權(quán)限限制獲取敏感信息或是拒絕服務(wù)攻擊等。用戶應(yīng)該盡快使用Windows自帶的Update功能進(jìn)行更新。

2. Adobe公司在2月及3月的例行修補(bǔ)中發(fā)布了多個(gè)安全公告，其中包括APSA18-02和APSA18-05兩個(gè)，前者用于更新Adobe Acrobat/Reader軟件，后者用于更新Flash Player軟件。這兩個(gè)更新修補(bǔ)了相關(guān)產(chǎn)品中的多個(gè)安全漏洞，其中包括兩個(gè)0day漏洞，分別是Adobe Acrobat/Reader中存在遠(yuǎn)程溢出漏洞（CVE-2018-4901）和Flash player零日攻擊漏洞（CVE-2018-4878）。

3. Apache Tomcat 7、8、9版本中存在安全繞過漏洞（CVE-2018-1304、CVE-2018-1305），攻擊者可以利用上述漏洞繞過某些安全限制來執(zhí)行未經(jīng)授權(quán)的操作。Tomcat 里的Servlet可以分層并設(shè)置安全規(guī)則。通常安全規(guī)則會(huì)被設(shè)置在第一層Servlet中，其下層Servlet可以直接繼承上層Servlet的安全規(guī)則。但是Apache Tomcat 在解析Servlet安全規(guī)則時(shí)存在錯(cuò)誤，安全規(guī)則只在該Servlet加載后才被應(yīng)用。攻擊者如果通過URL直接訪問下層的Servlet，由于第一級(jí)的Servlet并未加載，安全規(guī)則并未生效原本應(yīng)該被繼承的安全規(guī)則就會(huì)被忽略掉，這將導(dǎo)致惡意的擊者越權(quán)訪問服務(wù)器上的敏感信息。使用了Tomcat的系統(tǒng)管理員應(yīng)該盡快確認(rèn)自己使用的版本是否受漏洞影響并及時(shí)修正漏洞。

4. Exim是一個(gè)MTA（Mail Transfer Agent，郵件傳輸代理）服務(wù)器軟件。Exim 4.90.1之前版本中SMTP偵聽器'base64d()'解碼函數(shù)在發(fā)送Handcrafted消息時(shí)存在緩沖區(qū)溢出漏洞（CVE-2018-6789），由于Exim未能充分檢查用戶提供的數(shù)據(jù)。攻擊者可利用該漏洞繞過了ASLR、PIE、NX等系統(tǒng)通用系統(tǒng)緩解措施，在受影響的應(yīng)用程序上下文中執(zhí)行任意代碼，若攻擊嘗試失敗仍可導(dǎo)致拒絕服務(wù)。如果您的郵件服務(wù)器中使用相關(guān)程序，應(yīng)該盡快進(jìn)行升級(jí)。官方的升級(jí)信息如下：https://www.exim.org/mirmon/ftp_mirrors.html

安全提示

由于Memcache反射放大攻擊的簡(jiǎn)便和有效，未來一段時(shí)間里類似的攻擊流量占比會(huì)有增長(zhǎng)趨勢(shì)，并且這類攻擊的流量可以達(dá)到T級(jí)別，可能會(huì)對(duì)主干網(wǎng)絡(luò)的流量帶來影響。由于Memcache加速服務(wù)多數(shù)是云內(nèi)部的服務(wù)，它的11211端口并不需要向云外部的用戶提供，因此建議可以從三個(gè)方面來對(duì)相關(guān)攻擊進(jìn)行限制：

1. 從網(wǎng)絡(luò)邊界處禁封UDP 11211端口（校園網(wǎng)邊界或是數(shù)據(jù)中心邊界）。

2. 升級(jí)Memcache服務(wù)到最新版或者將Memcache服務(wù)端口綁定到127.0.0.1而不是外網(wǎng)地址。（可以通過掃描服務(wù)的手段來確定開放了外網(wǎng)服務(wù)的Memcache IP）。

3. 需要注意的是除了云服務(wù)中自己安裝的Memcache服務(wù)，一些其他的網(wǎng)絡(luò)服務(wù)程序（如Zimbra郵件服務(wù)程序）會(huì)在程序中封裝Memcache，管理員可以通過查看系統(tǒng)上的服務(wù)端口（UDP 11211）是否開放，如果開放請(qǐng)按上面的方式處置。