The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Некорректное использование Memcached приводит к уязвимостям ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Некорректное использование Memcached приводит к уязвимостям ..."  +/
Сообщение от opennews on 07-Авг-10, 11:50 
На конференции BlackHat был прочитан (http://www.sensepost.com/blog/4873.html) доклад, в котором рассказывалось об организации атаки, позволяющей получить доступ к закрытой информации, такой как пароли пользователей, воспользовавшись некорректной настройкой системы кэширования  Memcached (http://www.memcahced.org). Проблема вызвана тем, что некоторые администраторы используют привязку Memcached к реальному IP (при запустке memcached на одном хосте с сайтом рекомендуется привязать его к адресу 127.0.0.1), забывая блокировать сетевой порт 11211 межсетевым экраном.


Так как в Memcached отсутствуют средства аутентификации, при наличии доступа к открытому сетевому порту злоумышленник может легко получить полный доступ (чтение и запись) ко всем хранимым в кэше данным. На первый взгляд может показаться, что атаке могут быть подвержены только сайты, на которых используются стандартные web-приложения для которых известна логина формирования ключей для хранения данных в кэше. Но это не так, ...

URL: http://www.sensepost.com/blog/4873.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=27552

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от Антон (??) on 07-Авг-10, 11:50 
А не это ли причина нашумевшего взлома аккаунтов в LiveJournal. Официально говорили, что был BrouteForce и перехват паролей троянами, но слишком уж много пользователей божилось, что пароли у них были не словарные и Windows они не пользуются или обложены антивирусами со всех сторон, не нашедших никаких троянов.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Некорректное использование Memcached приводит к уязвимостям ..."  –5 +/
Сообщение от klalafuda on 07-Авг-10, 12:03 
> А не это ли причина нашумевшего взлома аккаунтов в LiveJournal. Официально говорили, что был BrouteForce и перехват паролей троянами, но слишком уж много пользователей божилось, что пароли у них были не словарные и Windows они не пользуются или обложены антивирусами со всех сторон, не нашедших никаких троянов.

Не думаю. Ну не могут быть админы столь крупного и явно не бедного сервиса быть настолько тупыми.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Некорректное использование Memcached приводит к уязвимостям ..."  +1 +/
Сообщение от Aquarius (ok) on 07-Авг-10, 12:30 
почему?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Некорректное использование Memcached приводит к уязвимостям ..."  –3 +/
Сообщение от klalafuda on 07-Авг-10, 12:42 
> почему?

Подсознательная вера в Большого Брата и в то, что он для рулежки своими критическими сервисами не будет нанимать совсем уж безголовый персонал. Выставить голой попой memcached наружу - это именно из этой оперы. Причем что каких-то обоснованных причин его туда выставлять я не вижу. Это или раздолбайство или махровое невежество. Минимально вменяемый админ себе такого не позволит.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Некорректное использование Memcached приводит к уязвимостям ..."  –2 +/
Сообщение от filosofem (ok) on 07-Авг-10, 18:28 
>и в то, что он для рулежки своими критическими сервисами не будет нанимать совсем уж безголовый персонал

Вы не из России?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от klalafuda on 07-Авг-10, 20:14 
> Вы не из России?

Ну нельзя же так уж совсем то ниже плинтуса опускать отечественных ITшников. Всему есть свой предел.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Некорректное использование Memcached приводит к уязвимостям ..."  –2 +/
Сообщение от filosofem (ok) on 07-Авг-10, 22:49 
Не айтишников, а тех, кто нанимает безголовых айтишников.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Некорректное использование Memcached приводит к уязвимостям ..."  +/
Сообщение от Aquarius (ok) on 14-Авг-10, 11:53 
>>и в то, что он для рулежки своими критическими сервисами не будет нанимать совсем уж безголовый персонал
>
>Вы не из России?

обратите внимание на http://ru.wikipedia.org/wiki/Принцип_Питера
и заметьте, что принцип сформулирован не россиянином и не на основе наблюдений за Россией

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от Антон (??) on 07-Авг-10, 15:31 
>Не думаю. Ну не могут быть админы столь крупного и явно не
>бедного сервиса быть настолько тупыми.

Насколько я понимаю у LJ очень большая сеть memcached-серверов, если на одном забыть настроить фаервол, то этого будет достаточно для взлома группы аккаунтов. Не факт, что пароли были получены, более похоже, что id определенных сессий перехватили и пароли поменяли. Вполне возможно, что сниффером а не через memcached, или с OpenID какие-нибудь манипуляции, например, через подставные формы паролей насобирали.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Некорректное использование Memcached приводит к уязвимостям ..."  +1 +/
Сообщение от pavlinux email(ok) on 07-Авг-10, 11:53 
Гугле рулит!!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от upyx (ok) on 09-Авг-10, 06:45 
> Интересен также способ, которым экспериментаторы пользовались для определения соответствующего MD5-хэшу пароля - хэш достаточно было запросить в поисковой системе Google.

Да, таки на простых паролях работает :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Некорректное использование Memcached приводит к уязвимостям ..."  –4 +/
Сообщение от klalafuda on 07-Авг-10, 11:54 
Мельчают, мельчают блекхатовцы. Через пару лет они так для себя и psexec глядишь откроют, да. Как очень оригинальный и свежий инструмент.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Некорректное использование Memcached приводит к уязвимостям ..."  +/
Сообщение от sd (??) on 07-Авг-10, 17:29 
>Мельчают, мельчают блекхатовцы. Через пару лет они так для себя и psexec
>глядишь откроют, да. Как очень оригинальный и свежий инструмент.

Ждём все когда Клалафуду клалафу родит свой первый мега опасный эксплойт, а пока ты не на defcon лучше такими фразами не бросаться.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от grearkir on 07-Авг-10, 13:09 
>>Для автоматизации проведения атаки, выявления важной информации из отладочных slab-дампов Memcached и подстановки своих данных в кэш автор доклада подготовил специальную утилиту go-derper.

./go-derper.rb -l -s ya.ru
[memcache-client] Could not load SystemTimer gem, falling back to Ruby's slower/unsafe timeout library: no such file to load -- system_timer
[w] No output directory specified, defaulting to ./output
[w] No prefix supplied, using "run1"
[E] Can't enable debug mode on server, leaching only through brute-force is currently unsupported
Что бы это значило?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от Митра on 07-Авг-10, 16:05 
Относительно первого предупреждения - [sudo] gem install system_timer
Остальное - нужно читать src, наверно, защита от srcipt kiddies.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от Ivan1986 email on 07-Авг-10, 13:16 
Мдя, выставлять мемкеш на внешний интерфейс...
Он же по умолчанию привязывается к 127.0.0.1
а если на нескольких серверах, то конечно фаер или внутренняя сетка.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Некорректное использование Memcached приводит к уязвимостям ..."  –3 +/
Сообщение от daevy (??) on 07-Авг-10, 13:54 
еще пример: в редхате и центосе при установке mysql дефолтная конфигурация запускает его на 0.0.0.0  :))
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от Аноним (??) on 07-Авг-10, 15:16 
Не знаю, как в редхате, а вот в центосе по дефолту снаружи открыт только 22-й порт... так что всё не так уж плохо
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Некорректное использование Memcached приводит к уязвимостям ..."  +/
Сообщение от Антон (??) on 07-Авг-10, 15:42 
Да, кстати. Приходилось видеть связки nginx + кэширование в memcached, в которых без префикса вначале проверяется ключ uri в кэше, если он есть выводится из memcached, нет - идет обращение к бэкенду. Ведь такие системы тоже можно атаковать похожим способом, подставляем вместо URL включение дебаг режима и узнаем ключи для пользовательских сессий. Насколько мне память не изменяет, nginx передает uri как есть, не экранируя.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от Аноним (??) on 08-Авг-10, 08:55 
Это не новость. Давно блочим :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от Аноним (??) on 08-Авг-10, 09:16 
>Это не новость. Давно блочим :)

Новость в том, что оказывается кто-то не блокирует.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Некорректное использование Memcached приводит к уязвимостям ..."  –1 +/
Сообщение от klalafuda on 08-Авг-10, 21:18 
> Новость в том, что оказывается кто-то не блокирует.

Я может кого-то сильно удивлю, но есть масса людей, которые используют прости хоссподи виндовс. И ничего, живут как-то. С грехом пополам.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру