Cuối năm ngoái, nhóm nghiên cứu Talos của Cisco phát hiện ra rằng có 3 vùng dễ bị tổn thương thực thi đoạn mã từ xa (RCE) rất quan trọng trong Memcached trên các website có thể giúp hacker tấn công máy người dùng, trong đó có cả các trang như Facebook, Twitter, YouTube, Reddit.
Memcached là hệ thống mã nguồn mở lưu trữ đối tượng và dữ liệu được truy cập nhiều lần để tăng tốc độ truy xuất. Nó được dùng để tăng tốc các ứng dụng web (ví dụ như các website PHP) bằng cách giảm gánh nặng trên cơ sở dữ liệu. Đã gần 8 tháng kể từ khi các nhà phát triển Memcached phát hành bản vá cho 3 lỗ hổng RCE này (CVE-2016-8704, CVE-2016-8705 và CVE-2016-8706) nhưng hàng ngàn máy chủ chạy ứng dụng Memcached vẫn chưa cập nhật, cho phép kẻ tấn công dễ dàng đánh cắp dữ liệu nhạy cảm từ xa.
Nhiều máy chủ Memcached vẫn đang dễ bị tấn công
Các nhà nghiên cứu tại Talos thực hiện quét Internet vào hai thời điểm, cuối tháng Hai và tháng Bảy để xem có bao nhiêu server đang chạy những phiên bản còn chưa được vá. Kết quả rất đáng ngạc nhiên.
Kết quả quét vào tháng Hai:
- Tổng máy chủ trên Internet 107.786
- Máy chủ dễ bị tổn thương 85.121
- Máy chủ dễ bị tổn thương và cần xác thực 23.707
5 quốc gia có nhiều máy chủ dễ bị tổn thương nhất là Mỹ, theo sau đó là Trung Quốc, Anh, Pháp và Đức.
Kết quả quét vào tháng Bảy:
- Tổng máy chủ trên Internet 106.001
- Máy chủ dễ bị tổn thương 73.403
- Máy chủ dễ bị tổn thương và cần xác thực 18.012
Sau khi so sánh kết quả hai lần quét, các nhà nghiên cứu nhận thấy chỉ 2.958 máy chủ dễ bị tổn thương trong lần quét vào tháng Hai tiến hành vá trước tháng Bảy, trong khi số còn lại vẫn dễ bị hack từ xa.
Đánh cắp dữ liệu và hiểm họa ransomware
Việc các tổ chức lờ đi không cập nhật bản vá này là rất quan ngại, các nhà nghiên cứu ở Talos cảnh báo rằng Memcached dễ bị tổn thương này sẽ là mục tiêu của các vụ tấn công ransomware tương tự như thứ đã tấn công cơ sở dữ liệu MongoDB vào cuối tháng 12.
Dù không giống Mongo DB, Memcached không phải cơ sở dữ liệu, nhưng nó vẫn chứa thông tin nhạy cảm và gây cản trở dịch vụ, có thể dẫn tới những lần cản trở khác trên dịch vụ độc lập.
Lỗi trên Memcached sẽ cho phép hacker thay thế nội dung được lưu bằng nội dung nhiễm độc để thay đổi nội dung website, tạo trang lừa đảo, tống tiền, link nhiễm độc, tấn công máy tính nạn nhân, đưa hàng trăm triệu người dùng vào trạng thái nguy hiểm.
“Khi ngày càng nhiều sâu máy tính khai thác những điểm dễ tổn thương, điều này cần được báo động đỏ với các nhà quản trị trên thế giới”, các nhà nghiên cứu kết luận. “Điểm yếu không được xử lý khi bị khai thác có thể ảnh hưởng tới các tổ chức trên toàn cầu, ảnh hưởng công việc nghiêm trọng. Những hệ thống này nên vá ngay lập tức để giảm thiểu rủi ro”.