绿盟威胁情报中心 NTI 对 Memcached 多个整数溢出漏洞全球影响分析 (1) 全球漏洞分布情况截止到今天, 我们统计全球范围内存在此安全漏洞的设备数量就已经达到 2,098,840 个这些受此漏洞影响的设备数量最多的国家是美国, 占全部的 37.67%, 其次是中国, 占 20.95%

Size: px

Start display at page:

Download "绿盟威胁情报中心 NTI 对 Memcached 多个整数溢出漏洞全球影响分析 (1) 全球漏洞分布情况截止到今天, 我们统计全球范围内存在此安全漏洞的设备数量就已经达到 2,098,840 个这些受此漏洞影响的设备数量最多的国家是美国, 占全部的 37.67%, 其次是中国, 占 20.95%"

砧昝
7 years ago
Views:

1 Memcached 多个整数溢出漏洞技术分析与防护方案发布时间 :2016 年 11 月 2 日综述 2016 年 10 月 31 日 ( 当地时间 ), 思科 Talos 团队在其官网上公布了三个 Memcached 服务器的整数溢出漏洞其中,CVE 位于函数 process_bin_append_prepend 中 ; CVE 位于函数 process_bin_update 中 ;CVE 位于函数 process_bin_sasl_auth 中这三个漏洞都可以导致堆溢出从而允许远程代码执行详情请见如下链接 : 官方有关代码修复的说明见如下链接 : 什么是 Memcached( 引用自百度百科 ) Memcached 是一个高性能的分布式内存对象缓存系统, 用于动态 Web 应用以减轻数据库负载它通过在内存中缓存数据和对象来减少读取数据库的次数, 从而提高动态数据库驱动网站的速度 Memcached 基于一个存储键 / 值对的 hashmap 其守护进程 (daemon ) 是用 C 写的, 但是客户端可以用任何语言来编写, 并通过 memcached 协议与守护进程通信影响的版本 Memcached version < 不受影响的版本 Memcached version =

2 绿盟威胁情报中心 NTI 对 Memcached 多个整数溢出漏洞全球影响分析 (1) 全球漏洞分布情况截止到今天, 我们统计全球范围内存在此安全漏洞的设备数量就已经达到 2,098,840 个这些受此漏洞影响的设备数量最多的国家是美国, 占全部的 37.67%, 其次是中国, 占 20.95%, 第三是澳大利亚, 占 8.52%, 剩余国家分别是韩国法国乌克兰日本英国荷兰南非等 Top20 国家的受此漏洞影响的设备数量占全球总数的 92.45%, 其余 7.55% 的设备分散于其他国家和地区内图 1 受此漏洞影响的设备全球分布图

3 图 2 全球受此漏洞影响的分布国家 TOP20 占比图 3 G20 成员国受影响暴露面 (2) 中国地区受此漏洞影响的设备分布情况中国各省份及地区分布的受此漏洞影响的设备总数量达 439,781 个其中广东省所占数量最多, 有 88,378 台设备受影响, 其次是北京香港浙江等地区按城市划分, 则北京上海广州深圳杭州香港等互联网发达的城市受影响数量最多

4 TOP10 省份的受此漏洞影响的设备数量共 382,054 台, 占中国总数的 86.87% 其余 13.13% 的数量分散于其他省份或地区内图 4 受此漏洞影响的设备中国各省份分布图

5 图 5 受此漏洞影响的设备中国各城市分布图图 6 受此漏洞影响的设备中国 TOP10 省份排名漏洞分析 1 CVE (1) 漏洞成因 process_bin_append_prepend 函数中无符号数和有符号数混合加减赋值导致整数溢出, 进一步可以导致堆溢出甚至远程代码执行 (2) 漏洞细节

6 Memcached 有两种协议来存取数据, 一种是基于 ASCII 的, 另一种是基于二进制的, 二进制协议针对包的大小进行了优化在二进制协议中, 通过发送 Append( 操作码 0x0e) Prepend( 操作码 0x0f) AppendQ( 操作码 0x19) 和 PrependQ( 操作码 opcode 0x1a) 等指令向已有的键 / 值对中添加数据时可能导致整数溢出在解析一个二进制协议包的时候, 如果指令是 Append Prepend 和其它类似指令时, 执行流程便会落到如下 case 分支中 : 图 7 解析 Append 等指令时的 case 分支可以看到, 在该 case 中没有针对 bodylen 的检查此后执行流程便会落到发生溢出的 process_bin_append_prepend 函数中 : 图 8 process_bin_append_prepend 其中结构体参数 conn 中的 binary_header 结构体里的 request 结构体定义如下 :

7 图 9 request 结构体定义可以看到,keylen 和 bodylen 都是无符号整形变量, 而 nkey 和 vlen 是有符号整形 keylen 被赋值给 nkey 后, 在计算 vlen 时可能发生溢出, 导致计算出来的 vlen 为负数其中 nkey 和 bodylen 的值都是用户可以直接控制的计算出来的 vlen 会在 do_item_alloc 中使用,do_item_alloc 会分配内存并且拷贝 key do_item_alloc 函数相关片段如下 : 图 10 do_item_alloc 函数片段 (1) 图 11 do_item_alloc 函数片段 (2) 其中 nbytes 为先前计算出来的 vlen 由于计算 vlen 时出现了溢出, 使得 item_make_header 计算出来的 ntotal 偏小, 那么 slabs_alloc 分配的内存较小无法容纳 key, 从而导致堆溢出在发生溢出的时候,nkey 的内容是可控的,key 指向的内存是可控的 2 CVE (1) 漏洞成因

8 process_bin_update 函数中无符号数和有符号数混合加减赋值导致整数溢出, 可以进一步导致堆溢出甚至远程代码执行 (2) 漏洞细节当向 Memcached 服务器发送 Set( 操作码 0x11) Add( 操作码 0x02) Replace( 操作码 0x03) SetQ( 操作码 0x11) AddQ( 操作码 0x12) 和 ReplaceQ( 操作码 0x13) 指令时, 可能导致整数溢出当发送相关指令时, 执行流会落到如下所示的 case 中 : 图 12 解析 Set 等指令时的 case 分支其中 keylen 是有符号整型, 而 bodylen 是无符号整型其后执行流程会落到函数 process_bin_update 中 : 图 13 process_bin_update 函数其中 nkey 和 vlen 是有符号整型, 而 bodylen 为无符号的, 在计算 vlen 时便可能发生整数溢出虽然在 case 中对 bodylen 和 keylen 进行了检查, 但是数据类型的自动转换可以绕过此检查计算出来的 vlen 会在 do_item_alloc 中使用,do_item_alloc 会分配内存并且拷贝 key 由于计算 vlen 时出现了整数溢出, 分配的内存较小无法容纳 key, 从而导致堆溢出在发生溢出的时候,nkey 的内容是可控的,key 指向的内存是可控的

9 由于存在相关检查, 所以触发漏洞需要满足以下几个条件 :extra_len 为 8;body_len 大于 key_len( 作为无符号对比 );key_len 大于 0;body_len 在 0xFFFFFFF0-0xFFFFFFFF 之间 3 CVE (1) 漏洞成因 process_bin_sasl_auth 函数中无符号数和有符号数混合加减赋值导致整数溢出, 从而可以导致堆溢出甚至远程代码执行 (2) 漏洞细节 Memcached 可以在编译时开启基于 SASL 的认证 process_bin_sasl_auth 函数负责处理认证的包 : 图 14 process_bin_sasl_auth 函数片段其中,nkey 和 vlen 是有符号整型, 而 body_len 为无符号整型在计算 vlen 过程中可能发生整数溢出, 致使计算出来的值为一个负数计算出来的 vlen 会在 do_item_alloc 中使用,do_item_alloc 会分配内存并且拷贝 key 由于计算 vlen 时出现了整数溢出, 分配的内存较小无法容纳 key, 从而导致堆溢出在发生溢出的时候,nkey 的内容是可控的,key 指向的内存是可控的临时解决方案限制 Memcached 应用端口 ( 默认为 11211) 的访问权限, 如 : 通过 ACL 限制来源 IP 等官方解决方案官方已经发布了版本更新, 建议用户升级到最新版本 (1.4.33), 下载链接如下 :

10 技术防护方案 (1) 产品类远程产品 : 使用 SaaS 绿盟云紧急漏洞在线检测服务进行免费检测, 链接地址如下 : rvice_id=1026 本地产品 : 使用绿盟科技的远程评估系统 RSAS 进行安全评估使用绿盟科技防护类产品 (IPS/IDS/NF) 进行防护已经购买了绿盟科技远程评估和防护类产品服务的客户可以通过产品升级进行防护 (2) 服务类短期服务 : 绿盟科技工程师现场处理 ( 渗透测试 + 应急响应 ) 确保第一时间消除网络内相关风险点, 控制事件影响范围, 提供事件分析报告中期服务 : 提供 3-6 个月的风险监控与巡检服务根除风险, 确保事件不复发长期服务 : 基于行业业务风险解决方案 ( 威胁情报 + 攻击溯源 + 专业安全服务 ) 声明 ========== 本安全公告仅用来描述可能存在的安全问题, 绿盟科技不为此安全公告提供任何保证或承诺由于传播利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失, 均由使用者本人负责, 绿盟科技以及安全公告作者不为此承担任何责任绿盟科技拥有对此安全公告的修改和解释权如欲转载或传播此安全公告, 必须保证此安全公告的完整性, 包括版权声明等全部内容未经绿盟科技允许, 不得任意修改或者增减此安全公告内容, 不得以任何方式将其用于商业目的关于绿盟科技 ============ 北京神州绿盟信息安全科技股份有限公司 ( 简称绿盟科技 ) 成立于 2000 年 4 月, 总部位于北京在国内外设有 30 多个分支机构, 为政府运营商金融能源互联网以及教育医疗等行业用户, 提供具有核心竞争力的安全产品及解决方案, 帮助客户实现业务的安全顺畅运行基于多年的安全攻防研究, 绿盟科技在网络及终端安全互联网基础安全合规及安全管理等领域, 为客户提供入侵检测 / 防护抗拒绝服务攻击远程安全评估以及 Web 安全防护等产品以及专业安全服务

11 北京神州绿盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳证券交易所创业板上市交易, 股票简称 : 绿盟科技, 股票代码 :300369

一. 漏洞概述 2018 年 3 月 28 日,Cisco IOS 以及 IOS XE 软件被发现存在一个严重漏洞 CVE 攻击者可以在未授权的情况下通过重新加载(reload) 设备造成拒绝服务条件, 或者远程执行代码 Smart Install 是为新的 LAN 以太网交换

绿盟科技安全预警通告 Cisco IOS/IOS XE 远程代码执行漏洞 (CVE-2018-0171) 预警编号 TAG 关注级别 NS-2018-0012 CVE-2018-0171; 远程代码执行 ;Smart Install 红, 攻击者已利用此漏洞进行攻击, 对业务造成较大影响发布日期 2018-4-8 版本 V1.1 一. 漏洞概述 2018 年 3 月 28 日,Cisco IOS