Sicherheitswarnung: Missbrauch Ihrer Memcached-Installationen
Veröffentlicht am 10.09.2019 von Nils Dornblut
Aktuell stellen auch wir innerhalb des GoDaddy-Netzwerks massive DDoS Angriffe fest, die über öffentlich erreichbare Memcached-Installationen realisiert werden. Hierbei wird ein bisher unbekannter Angriffsvektor nutzt. Auch bei uns ist es möglich, Memcached auf einem Manged Server zu installieren und zu nutzen. Wir bieten dafür eine direkte Installation über das Kundenmenü an. Ebenfalls auf einer JiffyBox ist es oft üblich, eine Installation zu machen. Memcached ist eigentlich dafür da, Daten im Speicher abzulegen, um Zugriffe darauf zu beschleunigen. Meist wird es im Zusammenhang mit Datenbanken eingesetztProblematisch wird es, wenn der Memcached-Server, der standardmäßig auf Port 11211 lauscht, nicht nur auf dem Server, sondern auch nach außen ins Internet lauscht. Das deutsche IT-Security Unternehmen Link11 hat festgestellt, dass solche offenen Server massiv missbraucht werden für den Angriff auf beliebige externe Webseiten. Solche Redirection- oder Amplifikation-Angriffe sind vom Angreifer mit relativ wenig Bandbreite zu realisieren, können aber vom Memcached-Server aus mit sehr hoher Bandbreite ausgeführt werden. Der Computerfachverlag Heise spricht von Angriffen mit bis zu knapp 300 Gbit/s, was 37,5 GB Daten pro Sekunde entspricht. Wen diese Menge auf einzelne Zielseiten losgelassen werden, macht das verständlicher Weise große Probleme. Bisher wurden vorwiegend Angriffe von den USA aus beobachtet, aber auch Länder in Europa und auch Angriffe aus Deutschland sind schon verzeichnet worden.
Wichtige Handlungsempfehlungen für Sie:
Wir bitten Sie daher, Ihre Server zu prüfen. Wenn Sie einen Memchaed-Server installiert haben auf einem MangedServer, können Sie das im Kundenmenü sehen unter Einstellungen -> Dienste installieren:
https://www.df.eu/forum/attachment.php?attachmentid=5873&d=1520017253
Bitte beachten Sie, dass die Anwendung als 32-Bit und weiter unten auch als 64-Bit Applikation installiert werden kann. Auch kann sie unabhängig vom Kundenmenü insbesondere auch auf einer JiffyBox installiert werden, was nicht direkt angezeigt wird.
Bei der Installation kann ausgewählt werden, ob der Port 11211 geöffnet werden soll oder nicht, was wir empfehlen und die Grundeinstellung ist:
https://www.df.eu/forum/attachment.php?attachmentid=5874&d=1520017298
Bei vorhandenen Installationen ist es wichtig, dass Sie im Kundenmenü oder direkt auf dem Server prüfen, ob Sie eine öffentlich erreichbare Memcached-Installation standardmäßig auf Port 11211, betreiben. Unter Einstellungen -> Serverkonfiguration können Sie im Kundenmenü im Reiter Firewall sehen, was nach außen freigegeben ist. Ein schlechtes Beispiel sieht so aus:
https://www.df.eu/forum/attachment.php?attachmentid=5875&d=1520017357
Wenn eine solche Regel bei Ihnen existiert, empfehlen wir dringend eine Löschung. Nebenbei können über die festgestellte Sicherheitslücke bei Memcached auch vertrauliche Daten aus dessen Speicher ausgelesenen werden.
Natürlich schauen wir die durch uns angebotene Installation schnellstmöglich zu aktualisieren, wenn eine neuen gesicherte Version von Memcached vorliegt. Da aber auch in der Vergangenheit schon mehrfach Sicherheitslücken in der Software existierten, empfehlen wir grundsätzlich die Software nur ohne Öffnung der Firewall zu nutzen. In fast allen Anwendungsfällen sollte das auch ausreichen.
Generell beobachten wir das Thema und prüfen auch mögliche automatisierte Maßnahmen durch uns. Danke vorab für Ihre Mitarbeit.
