不適切な設定の Memcached はネット上にたくさん存在している

memcached

cisco

counterintelligence

Cisco の Cisco Talos Security Intelligence and Research Group が Memcached の脆弱性について調査したレポートが興味深かったのでメモ。

Memcached はウェブサーバのプライベートなキャッシュとして使われていることが多く、一般的な利用方法において、ウェブサーバの外部からアクセスする必要はありません。ちなみにこのサーバにも Memcached は使われていますが、外部からのアクセスを防ぐために IP アドレスは 127.0.0.1 のみをリッスンするようにしてあります。

この報告を読んで驚くのは世界で 10 万を越えるサーバがネット越しにアクセス可能（このうち 3,607 件は日本のもの）であり、ほとんど認証は利用されておらず、リモートからのコード実行が可能な脆弱性を持ったまま運用が続けらているということです。Talos はメールで管理者に注意喚起を行ったようですが、ほとんど効果はなかったというのも興味深いところです。

不用意にパッチ当てをするとデグレードするというのは分かるのですが、不用意に外部にサービスが公開されていないかどうかについては最低限注意を払いたいものです。

Memcached – 不適切なパッチ適用と脆弱なサーバについての事例

インターネット上には多数の Memcached サーバが簡単にアクセスできる状態で存在しているということです。2 番目の結論は、認証が有効化されているのは 4 分の 1 未満であり、認証が有効になっていないサーバはリモートコード実行の脆弱性がなかったとしても悪用に対して完全にオープンな状態であるということです。3 番目は、既存のサーバへのパッチ適用がなかなか行われないことから、私たちが報告した脆弱性によって、多数のサーバが侵害のリスクに対して完全に無防備な状態になっているということです。そして 4 番目は、認証が有効になっているサーバでもパッチが適用されているものはわずかであるということです。

† 参考