En este mundo no hay nada completamente seguro. Empezando por las propias naciones y el riesgo al que todas están expuestas, hasta el ciberespacio, la rama que nos toca a nosotros. Sin embargo siempre hay medidas que pueden ayudar a mejorar esta seguridad. Hacer, al menos en parte, que sea más difícil que surjan problemas. En el caso de las redes, lo conveniente es que los usuarios tengan actualizados sus equipos e instalen los parches de seguridad para solucionar problemas. Muchos no lo hacen o no siempre llega a tiempo y es lo que ocurre con los servidores de Memcached.
Servidores de Memcached vulnerables
A finales del año pasado, el grupo de inteligencia e investigación Cisco’s Talosdescubrió tres vulnerabilidades críticas de ejecución de código remota (RCE, en sus siglas en inglés) en Memcached, un sistema para almacenar caché de datos u objetos en la memoria RAM y que cuenta con versiones para Linux, Windows y MacOS.
Estas vulnerabilidades dejaban expuestos a vulnerabilidades a sitios como Facebook, Twitter, YouTube o Reddit.
La aplicación Memcached fue diseñada para acelerar aplicaciones web dinámicas (por ejemplo sitios web basados en PHP) reduciendo el estrés en la base de datos que ayuda a los administradores a aumentar el rendimiento y escalar las aplicaciones web.
El problema es que han pasado más de ocho meses desde que los desarrolladores de Memcached lanzaron parches de seguridad para cubrir las tres vulnerabilidades críticas RCE, pero decenas de miles de servidores que ejecutan la aplicación siguen siendo vulnerables. Se calcula que hay más de 70.000 en esta situación. Esto facilita el robo de datos confidenciales de forma remota.
Concretamente los tres parches de seguridad fueron: CVE-2016-8704, CVE-2016-8705 y CVE-2016-8706.
Exploraciones
Los investigadores de Cisco’s Talos realizaron exploraciones por Internet en dos ocasiones diferentes, una a finales de febrero y otra en julio, para averiguar cuántos servidores siguen ejecutando la versión vulnerable de la aplicación Memcached.
Los resultados en febrero fueron:
Total de servidores expuestos en Internet: 107.786
Servidores aún vulnerables: 85.121
Servidores aún vulnerables pero que requieren autenticación: 23.707
Como dato añadido, los cincos países más vulnerables y por orden de mayor a menor eran Estados Unidos, China, Reino Unido, Francia y Alemania.
Los resultados en julio no cambiaron demasiado frente al de unos meses atrás:
Total de servidores expuestos en Internet: 106.001
Servidores aún vulnerables: 73.403
Servidores aún vulnerables pero que requieren autenticación: 18.012
Peligro latente
Después de comparar los resultados de las exploraciones de Internet, los investigadores descubrieron que sólo 2.958 servidores encontrados vulnerables en la exploración de febrero habían sido parcheados antes de la exploración de julio, mientras que los restantes quedaban vulnerables a amenazas remotas.
Esta ignorancia por parte de las organizaciones de aplicar los parches a tiempo es preocupante, ya que los investigadores de Cisco’s Talos advirtieron que estas vulnerabilidades en las instalaciones de Memcached podrían ser un blanco fácil de ataques de ransomware similares a los que golpearon las bases de datos MongoDB a finales de diciembre.
Las vulnerabilidades de Memcached podrían permitir a los piratas informáticos reemplazar el contenido en caché de forma maliciosa para destruir el sitio web, promover páginas de phishing, amenazas de rescate y enlaces maliciosos para secuestrar el equipo de la víctima, poniendo en riesgo a cientos de millones de usuarios en línea.
Fuente:https://www.redeszone.net/2017/07/19/mas-de-70-000-servidores-de-memcached-todavia-son-vulnerables/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
