Некорректное использование Memcached приводит к уязвимостям сайтов

07.08.2010 11:23

На конференции BlackHat был прочитан доклад, в котором рассказывалось об организации атаки, позволяющей получить доступ к закрытой информации, такой как пароли пользователей, воспользовавшись некорректной настройкой системы кэширования Memcached. Проблема вызвана тем, что некоторые администраторы используют привязку Memcached к реальному IP (при запустке memcached на одном хосте с сайтом рекомендуется привязать его к адресу 127.0.0.1), забывая блокировать сетевой порт 11211 межсетевым экраном.

Так как в Memcached отсутствуют средства аутентификации, при наличии доступа к открытому сетевому порту злоумышленник может легко получить полный доступ (чтение и запись) ко всем хранимым в кэше данным. На первый взгляд может показаться, что атаке могут быть подвержены только сайты, на которых используются стандартные web-приложения для которых известна логика формирования ключей для хранения данных в кэше. Но это не так, дело в том, что значения ключей для закрытого сервиса можно легко вычислить используя встроенные в Memcached отладочные инструменты и команды для просмотра статистики. В качестве демонстрации приводится пример получения доступа к одному из аккаунтов социальной сети Gowalla.

Кроме того, в докладе обращается внимание на распространенность подобных ошибок, интернет оказался буквально наводнен сайтами с незакрытым портом memcached, среди которых встречаются такие крупные ресурсы как Gowalla, bit.ly и PBS. В частности, сканирование IP-адресов в течение 50 дней выявило в сети 229 серверов не блокирующих доступ к Memcached. В загруженных из кэша этих серверов данных, были обнаружены пароли (открытые и MD5), email-адреса, разнообразные сериализованные объекты, параметры пользовательских профилей и другая информация. Интересен также способ, которым экспериментаторы пользовались для определения соответствующего MD5-хэшу пароля - хэш достаточно было запросить в поисковой системе Google.

Для автоматизации проведения атаки, выявления важной информации из отладочных slab-дампов Memcached и подстановки своих данных в кэш автор доклада подготовил специальную утилиту go-derper.

исправить +3 +/–

Главная ссылка к новости (http://www.sensepost.com/blog/...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/27552-security

Ключевые слова: security, memcached, cache, attack

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.2, Антон (??), 11:50, 07/08/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	–1 +/–
А не это ли причина нашумевшего взлома аккаунтов в LiveJournal. Официально говорили, что был BrouteForce и перехват паролей троянами, но слишком уж много пользователей божилось, что пароли у них были не словарные и Windows они не пользуются или обложены антивирусами со всех сторон, не нашедших никаких троянов.

2.5, klalafuda (?), 12:03, 07/08/2010 [^] [^^] [^^^] [ответить] [к модератору]	–5 +/–
> А не это ли причина нашумевшего взлома аккаунтов в LiveJournal. Официально говорили, что был BrouteForce и перехват паролей троянами, но слишком уж много пользователей божилось, что пароли у них были не словарные и Windows они не пользуются или обложены антивирусами со всех сторон, не нашедших никаких троянов. Не думаю. Ну не могут быть админы столь крупного и явно не бедного сервиса быть настолько тупыми.

3.6, Aquarius (ok), 12:30, 07/08/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
почему?

4.7, klalafuda (?), 12:42, 07/08/2010 [^] [^^] [^^^] [ответить] [к модератору]	–3 +/–
> почему? Подсознательная вера в Большого Брата и в то, что он для рулежки своими критическими сервисами не будет нанимать совсем уж безголовый персонал. Выставить голой попой memcached наружу - это именно из этой оперы. Причем что каких-то обоснованных причин его туда выставлять я не вижу. Это или раздолбайство или махровое невежество. Минимально вменяемый админ себе такого не позволит.

5.17, filosofem (ok), 18:28, 07/08/2010 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
>и в то, что он для рулежки своими критическими сервисами не будет нанимать совсем уж безголовый персонал Вы не из России?

6.18, klalafuda (?), 20:14, 07/08/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–1 +/–
> Вы не из России? Ну нельзя же так уж совсем то ниже плинтуса опускать отечественных ITшников. Всему есть свой предел.

7.19, filosofem (ok), 22:49, 07/08/2010 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
Не айтишников, а тех, кто нанимает безголовых айтишников.

6.25, Aquarius (ok), 11:53, 14/08/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
>>и в то, что он для рулежки своими критическими сервисами не будет нанимать совсем уж безголовый персонал > >Вы не из России? обратите внимание на http://ru.wikipedia.org/wiki/Принцип_Питера и заметьте, что принцип сформулирован не россиянином и не на основе наблюдений за Россией

3.12, Антон (??), 15:31, 07/08/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]

–1 +/–

>Не думаю. Ну не могут быть админы столь крупного и явно не
>бедного сервиса быть настолько тупыми.

Насколько я понимаю у LJ очень большая сеть memcached-серверов, если на одном забыть настроить фаервол, то этого будет достаточно для взлома группы аккаунтов. Не факт, что пароли были получены, более похоже, что id определенных сессий перехватили и пароли поменяли. Вполне возможно, что сниффером а не через memcached, или с OpenID какие-нибудь манипуляции, например, через подставные формы паролей насобирали.

1.3, pavlinux (ok), 11:53, 07/08/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
Гугле рулит!!

2.23, upyx (ok), 06:45, 09/08/2010 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
> Интересен также способ, которым экспериментаторы пользовались для определения соответствующего MD5-хэшу пароля - хэш достаточно было запросить в поисковой системе Google. Да, таки на простых паролях работает :)

1.4, klalafuda (?), 11:54, 07/08/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–4 +/–
Мельчают, мельчают блекхатовцы. Через пару лет они так для себя и psexec глядишь откроют, да. Как очень оригинальный и свежий инструмент.

2.16, sd (??), 17:29, 07/08/2010 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>Мельчают, мельчают блекхатовцы. Через пару лет они так для себя и psexec >глядишь откроют, да. Как очень оригинальный и свежий инструмент. Ждём все когда Клалафуду клалафу родит свой первый мега опасный эксплойт, а пока ты не на defcon лучше такими фразами не бросаться.

1.8, grearkir (?), 13:09, 07/08/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–1 +/–
>>Для автоматизации проведения атаки, выявления важной информации из отладочных slab-дампов Memcached и подстановки своих данных в кэш автор доклада подготовил специальную утилиту go-derper. ./go-derper.rb -l -s ya.ru [memcache-client] Could not load SystemTimer gem, falling back to Ruby's slower/unsafe timeout library: no such file to load -- system_timer [w] No output directory specified, defaulting to ./output [w] No prefix supplied, using "run1" [E] Can't enable debug mode on server, leaching only through brute-force is currently unsupported Что бы это значило?

2.15, Митра (?), 16:05, 07/08/2010 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Относительно первого предупреждения - [sudo] gem install system_timer Остальное - нужно читать src, наверно, защита от srcipt kiddies.

1.9, Ivan1986 (?), 13:16, 07/08/2010 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	–1 +/–
Мдя, выставлять мемкеш на внешний интерфейс... Он же по умолчанию привязывается к 127.0.0.1 а если на нескольких серверах, то конечно фаер или внутренняя сетка.

1.10, daevy (??), 13:54, 07/08/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	–3 +/–
еще пример: в редхате и центосе при установке mysql дефолтная конфигурация запускает его на 0.0.0.0 :))

2.11, Аноним (-), 15:16, 07/08/2010 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Не знаю, как в редхате, а вот в центосе по дефолту снаружи открыт только 22-й порт... так что всё не так уж плохо

1.14, Антон (??), 15:42, 07/08/2010 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
Да, кстати. Приходилось видеть связки nginx + кэширование в memcached, в которых без префикса вначале проверяется ключ uri в кэше, если он есть выводится из memcached, нет - идет обращение к бэкенду. Ведь такие системы тоже можно атаковать похожим способом, подставляем вместо URL включение дебаг режима и узнаем ключи для пользовательских сессий. Насколько мне память не изменяет, nginx передает uri как есть, не экранируя.

1.20, Аноним (-), 08:55, 08/08/2010 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]	–1 +/–
Это не новость. Давно блочим :)

2.21, Аноним (-), 09:16, 08/08/2010 [^] [^^] [^^^] [ответить] [к модератору]

–1 +/–

>Это не новость. Давно блочим :)

Новость в том, что оказывается кто-то не блокирует.

3.22, klalafuda (?), 21:18, 08/08/2010 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
> Новость в том, что оказывается кто-то не блокирует. Я может кого-то сильно удивлю, но есть масса людей, которые используют прости хоссподи виндовс. И ничего, живут как-то. С грехом пополам.

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: