El pasado mes de octubre se corrigieron tres fallos críticos en memcached que a día de hoy siguen afectando a unos 70.000 servidores expuestos en Internet.

Memcached es un software que implementa una caché de alto rendimiento en el servidor donde es instalado. Siendo un sistema distribuido, se utiliza para el almacenamiento en caché de datos u objetos en la RAM, reduciendo de esta manera los accesos a datos como los almacenados en la base de datos o las API y el tiempo necesario para el despliegue de contenidos.

Volviendo las vulnerabilidades, el pasado mes de octubre los desarrolladores de memcached corrigieron tres de ejecución de código en remoto (CVE-2016-8704, CVE-2016-8705 y CVE-2016-8706), las cuales fueron descubiertas por investigadores de Cisco Systems. Todas las vulnerabilidades afectaban al protocolo binario para almacenar y recuperar datos de memcached. Por otro lado, una de estas, además, se encontraba en la implementación del protocolo Simple Authentication and Security Layer (SASL).

Sin embargo, esta incidencia a nivel de seguridad solo es la punta del iceberg, ya que los investigadores de Cisco, pertenecientes a la división Talos, decidieron el pasado mes de febrero realizar una serie de comprobaciones a través de Internet, obteniendo unos resultados poco alentadores, ya que descubrieron 106.000 servidores memcached directamente expuestos, de los cuales solo 24.000 requerían autenticación.

El hecho de que muchos servidores sean accesibles sin autenticación no es lo peor, ya que los investigadores de Cisco vieron que solo 200 servidores de los que requerían autenticación tenían aplicados los parches publicados en octubre. A nivel global, se detectaron que unos 85.000 servidores no tenían aplicados los parches publicados en octubre.

Ante esta situación, los investigadores de Talos decidieron ir notificando a los responsables de los servidores afectados a ver si conseguían que los parchearan. Cinco meses después, a principios de este mes de julio, volvieron a sondear Internet y descubrieron de nuevo 106.000 servidores memcached directamente expuestos, aunque 28.500 de estos tenían una IP diferente con respecto a febrero.

Los resultados fueron bastante decepcionantes, ya que descubrieron 73.400 servidores con los parches publicados en octubre sin aplicar, además de que solo 18.000 requerían autenticación. De este último conjunto, el 99% todavía tenía vulnerabilidad de SASL. Los investigadores de Cisco han llegado a la conclusión de que muchos mantenedores de servidores web hacen un trabajo pobre a la hora de mantener correctamente los niveles de seguridad, algo que podría afectar a sus usuarios con posibles filtraciones de datos.

El mal mantenimiento de un sistema, ya sea de escritorio o servidor, puede tener consecuencias catastróficas. Para más señas, tenemos el reciente caso de WannaCry, que se dedicó a explotar una vulnerabilidad para la cual ya había un parche disponible desde hace tiempo.

Fuente: The New Stack