VULNERABILIDADES EN MAS DE 70.000 SERVIDORES DE MEMCACHED

Vulnerabilidades en miles de servidores de Memcached

En este mundo no hay nada completamente seguro. Empezando por las propias naciones y el riesgo al que todas están expuestas, hasta el ciberespacio, la rama que nos toca a nosotros. Sin embargo siempre hay medidas que pueden ayudar a mejorar esta seguridad. Hacer, al menos en parte, que sea más difícil que surjan problemas. En el caso de las redes, lo conveniente es que los usuarios tengan actualizados sus equipos e instalen los parches de seguridad para solucionar problemas. Muchos no lo hacen o no siempre llega a tiempo y es lo que ocurre con los servidores de Memcached.

Servidores de Memcached vulnerables

A finales del año pasado, el grupo de inteligencia e investigación Cisco’s Talos descubrió tres vulnerabilidades críticas de ejecución de código remota (RCE, en sus siglas en inglés) en Memcached, un sistema para almacenar caché de datos u objetos en la memoria RAM y que cuenta con versiones para Linux, Windows y MacOS.

Estas vulnerabilidades dejaban expuestos a vulnerabilidades a sitios como Facebook, Twitter, YouTube o Reddit.

La aplicación Memcached fue diseñada para acelerar aplicaciones web dinámicas (por ejemplo sitios web basados en PHP) reduciendo el estrés en la base de datos que ayuda a los administradores a aumentar el rendimiento y escalar las aplicaciones web.

El problema es que han pasado más de ocho meses desde que los desarrolladores de Memcached lanzaron parches de seguridad para cubrir las tres vulnerabilidades críticas RCE, pero decenas de miles de servidores que ejecutan la aplicación siguen siendo vulnerables. Se calcula que hay más de 70.000 en esta situación. Esto facilita el robo de datos confidenciales de forma remota.

Concretamente los tres parches de seguridad fueron: CVE-2016-8704, CVE-2016-8705 y CVE-2016-8706.

Exploraciones

Los investigadores de Cisco’s Talos realizaron exploraciones por Internet en dos ocasiones diferentes, una a finales de febrero y otra en julio, para averiguar cuántos servidores siguen ejecutando la versión vulnerable de la aplicación Memcached.

Los resultados en febrero fueron:

Total de servidores expuestos en Internet: 107.786

Servidores aún vulnerables: 85.121

Servidores aún vulnerables pero que requieren autenticación: 23.707

Como dato añadido, los cincos países más vulnerables y por orden de mayor a menor eran Estados Unidos, China, Reino Unido, Francia y Alemania

Los resultados en julio no cambiaron demasiado frente al de unos meses atrás:

Total de servidores expuestos en Internet: 106.001

Servidores aún vulnerables: 73.403

Servidores aún vulnerables pero que requieren autenticación: 18.012

Peligro latente

Después de comparar los resultados de las exploraciones de Internet, los investigadores descubrieron que sólo 2.958 servidores encontrados vulnerables en la exploración de febrero habían sido parcheados antes de la exploración de julio, mientras que los restantes quedaban vulnerables a amenazas remotas.

Esta ignorancia por parte de las organizaciones de aplicar los parches a tiempo es preocupante, ya que los investigadores de Cisco’s Talos advirtieron que estas vulnerabilidades en las instalaciones de Memcached podrían ser un blanco fácil de ataques de ransomware similares a los que golpearon las bases de datos MongoDB a finales de diciembre.

Las vulnerabilidades de Memcached podrían permitir a los piratas informáticos reemplazar el contenido en caché de forma maliciosa para destruir el sitio web, promover páginas de phishing, amenazas de rescate y enlaces maliciosos para secuestrar el equipo de la víctima, poniendo en riesgo a cientos de millones de usuarios en línea.

Ver información original al respecto en Fuente:
todavia-son-vulnerables/