Des vulnérabilités exploitables à distance dans MemCached

Plusieurs vulnérabilités critiques ont été découvertes dans le célèbre système de cache Memcached, celles-ci sont exploitables à distance


Memcached est un service de caching  open-source qui se positionne en frontal d’une infrastructure web, son rôle est d’alléger la charge des serveurs web en mettant en cache les requêtes et les réponses HTTP. Ce service est l’un des plus utilisé aujourd’hui car il est l’un des plus performant, on le retrouve par exemple dans les infrastructures de Facebook, Youtube, Reddit ou encore Twitter.

C’est un chercheur du Cisco Talos Group, nommé Aleksandar Nikolitch, qui a rapporté ces vulnérabilités. Il y indique que de multiple integer overflow sont présents et peuvent être exploités à distance afin d’exécuter du code arbitraire, ce genre de faille font partie des plus critiques car elles permettent de prendre le contrôle total du système cible dans la plupart des cas. Les fonctions impactées sont plus précisément celles qui sont utilisées pour “insérer, ajouter ou modifier des paire clé-valeur” dans le système de traitement du cache.

Voici les CVE et les scores CVSS associés à ces nouvelles vulnérabilités :

  • CVSS 9.8 – CVE-2016-8704: Vulnérabilité exécution de code arbitraire dans les fonctions Append/Preprend de Memcached Server
  • CVSS 9.8 – CVE-2016-8705: Vulnérabilité exécution de code arbitraire dans les fonctions de mise à jour Memcached Server
  • CVSS 8.1 – CVE-2016-8706: Vulnérabilité exécution de code arbitraire dans les fonctions d’authentification SASL Memcached Server

Plus de détails techniques sont apportés dans les différents liens ci-dessus.

Parmi les impacts directs identifiés, un utilisateur est par exemple en capacité de remplacer le contenu d’un cache sauvegardé en mémoire par MemCached par son propre contenu, ce dernier contenant par exemple une page de phishing ou du code malveillant destiné à être exécuté par l’utilisateur final. Également, il serait possible selon le chercheur de contourner des systèmes de protection tels que l’ASLR (Address space layout randomization).

Ces différentes vulnérabilités sont présentes dans les version 1.4.31 et inférieurs de Memcached, pensez donc à mettre à jour vos instances, les équipes de développement ont déployé un correctif dans la prochaine version, ce qui ne leur a pris que deux jours : ReleaseNotes1433

Pour finir, et parce que je m’intéresse depuis quelque temps aux système de détection, on notera que Cisco a fait paraitre dans la foulée une règle de détection Snort (40468-40483) destinée à détecter l’exploitation de ces vulnérabilités, permettant ainsi aux équipes SoC/Sécurité de mettre à jour leurs règles de détection.

Source : Vulnerability Spotlight: Remotely Exploitable Bugs in Memcached Identified and Patched 

Vous aimerez aussi...

1 réponse

  1. Denis dit :

    C’est pas trop compliqué sous Linux Fedora / Red Hat / CentOS de les empêcher. Il suffit de modifier le fichier /etc/sysconfig/memcached comme suit :

    OPTIONS=”-l 127.0.0.1″

    Source : http://www.dsfc.net/infrastructure/securite/restreindre-ecoute-memcached-interface-loopback/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *