问题描述

【漏洞背景】

近日,国家互联网应急中心(CNCERT)通报了memcached反射攻击的情况。 memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包(statsset/get指令),使memcached服务器向受害者IP地址反射返回比原始数据包大数倍的数据(理论最高可达5万倍,通过持续跟踪观察攻击流量平均放大倍数在100倍左右),从而进行反射攻击。

【漏洞影响】

该项安全漏洞可能会导致产品被针对性的恶意利用,被利用发动大规模反射攻击。

原因分析

H3C产品】

memcached反射攻击漏洞发布以来,H3C研发团队迅速进行了分析,对H3C公司产品进行了自查,结果如下。

确认涉及的产品:

l  H3Cloud OS

确认不涉及产品:

l  园区核心交换机产品

l  数据中心交换机产品

l  园区接入交换机

l  无线产品

l  高端路由器

l  中低端路由器产品

l  核心路由器产品

l  VNF2000系列产品(VSR/VBRAS/vFW/vLB/vAC/vLNS

l  业务软件产品

l  CAS

l  云桌面、云学堂系列产品

l  H3Cloud AE/CE/CMP/OC/教育云

l  分布式存储

l  H3C服务器产品

l  业务软件产品

l  NFV产品

l  SDNvSwitchSDN ControllerLicense Server

l  SDN广域网产品(AD-WAN

l  大数据软件

l  安全产品

规避措施/解决方案

H3C产品解决方案】

memcached反射攻击漏洞发布以来,H3C 研发团队第一时间跟进该漏洞的原理分析和修复措施研究,并已经确定通过升级版本的方式可以有效地修复该安全漏洞,目前H3C研发团队正在实验室对修复后的底层软件进行功能与性能遍历测试。

涉及的产品的解决方案:

l  H3Cloud OS

20183月底发布修复漏洞的升级版本,版本号E1139

 

H3C产品规避方案】

memcached反射攻击漏洞发布以来,建议的规避方案如下:

1)       memcached服务器或者其上联的网络设备上配置防火墙策略,仅允许授权的业务IP地址访问memcached服务器,拦截非法的非法访问。

2)       建议企业在出入口对源端口或目的端口为11211UDP流量进行限速、限流和阻断,对被利用发起memcached反射攻击的用户IP进行处理。

3)       H3Cloud OS产品,请参考 “附件1H3Cloud OS针对由memcached服务器实施反射DDoS攻击漏洞的解决方案”,实施规避方案。

案例信息

案例类型:技术公告
案例号:201803070012
创建时间:2018年3月7日
更新时间:2018年4月28日
发布时间:2018/4/28 15:17:48
文章密级:游客可见
有效期:长期有效
发布者:王剑虎 [w10104]
点击次数:38034
评论平均得分:0
关键词:memcached 反射攻击
产品线:TS
产品系列:
产品版本:
技术分类: 技术分类

附件
常用操作
收藏