Memcached banyak dipergunakan oleh Webmaster untuk meningkatkan kinerja website mereka, namun perlu diwaspadai menggunakan fitur Memcached tersebut, karena fitur tersebut sangat rentan terhadap terhadap serangan penjahat cyber. Ada tiga Remote Code Execution (RCE) vulnerabilities yang telah dilaporkan oleh peneliti keamanan Aleksandar Nikolich di Cisco Talos Grup yang mengekspos website Facebook, Twitter, YouTube, Reddit.


Memcached adalah bagian luar biasa yang terdapat pada "open source distributed caching system" yang memungkinkan objek disimpan dalam memori. Fitur tersebut dirancang untuk mempercepat aplikasi web dinamis dengan mengurangi stres pada database, sehingga dapat membantu administrator untuk meningkatkan kinerja dan skala aplikasi web. Memcached banyak digunakan oleh ribuan website, termasuk situs jejaring sosial populer seperti Facebook, Flickr, Twitter, Reddit, YouTube, Github, dan banyak lagi.

Nikolich mengatakan bahwa ia menemukan beberapa bug di memcached yang bisa dimanfaatkan untuk menjalakan remote kode pada sistem target, sehingga banyak situs dapat diakses melalui Internet akibat dari bug yang terdapat pada memcached. Kerentanan berada di fungsi memcached yang digunakan dalam memasukkan, menambahkan, memodifikasi nilai kunci data.

    CVE-2016-8704: Memcached Server Append/Prepend Remote Code Execution Vulnerability
    CVE-2016-8705: Memcached Server Update Remote Code Execution Vulnerability
    CVE-2016-8706: Memcached Server SASL Authentication Remote Code Execution Vulnerability

Jika dieksploitasi, kerentanan dapat memungkinkan penyerang untuk mengirim perintah melalui memcached ke server yang ditargetkan. Selain itu, kekurangan juga bisa dimanfaatkan untuk membocorkan informasi proses sensitif yang selanjutnya dapat digunakan untuk memotong mitigasi eksploitasi standar, seperti ASLR (Address Space Layout Randomisation) untuk membuat serangan yang cukup parah.

Secara default, layanan memcached diinstal pada server pada port TCP 11211, sehingga selalu dianjurkan untuk membatasi aksesnya di belakang firewall. Penyerang bisa mengeksploitasi kerentanan ini untuk remote jarak jauh mencuri informasi sensitif cache pada server tanpa sepengetahuan Anda. Yang lebih buruk, memungkinkan hacker untuk mengganti konten cache untuk deface website, phishing pages dan link berbahaya untuk membajak mesin, menempatkan ratusan juta pengguna online beresiko, melumpuhkan website.
 
Top