各位

                                                   JPCERT-AT-2018-0009
                                                             JPCERT/CC
                                                            2018-02-27

                  <<< JPCERT/CC Alert 2018-02-27 >>>

               memcached のアクセス制御に関する注意喚起

            https://www.jpcert.or.jp/at/2018/at180009.html


I. 概要
JPCERT/CC では、2018年2月21日ごろから 11211/udp の通信ポートに対するア
クセスが増加していることを、外部組織からの情報提供、およびインターネット
定点観測システム (TSUBAME) の観測データから確認しています。TSUBAME に
て観測されたスキャンは、当該通信ポートへのスキャンパケットから、memcached
に対して行われている可能性が考えられます。memcached の設定によっては、
意図せずインターネットからアクセス可能な状態になっており、スキャンに応
答している可能性があります。このような場合に攻撃の踏み台にされたり、
memcached が保持する情報へアクセスされたりする可能性があります。JPCERT/CC
では、memcached を踏み台として悪用したとみられる DDoS 攻撃の報告を受け
取っています。


TSUBAME による、11211/udp スキャンの観測状況 (2018年2月1日 - 2018年2月27日)

memcached の利用者は、管理するサーバが攻撃の踏み台とならないように、適
切にアクセス制御を実施することを推奨します。


II. 対象
TSUBAME で観測されているスキャンパケットの特徴から、対象と考えられる製
品は次のとおりです。

  - memcached

特に 1.2.7 以降の memcached をデフォルトの設定で利用している場合、意図
せず 11211/tcp および 11211/udp のポートがアクセス可能な状態になってい
るケースが考えられます。


III. 対策
攻撃の踏み台にされたり、memcached が保持する情報への意図しないアクセス
を防いだりするために、適切なアクセス制御を実施することを強く推奨します。

  - アクセスに用いる IP アドレスやポートを制限する
    memcached へのアクセスに用いる必要最小限の IP アドレスに対してのみ
    公開を制限することや、使用するポートの制限を行うことを検討して下さ
    い。

また、DDoS 攻撃の踏み台として悪用される可能性のあるソフトウエアは、
memcached に限りませんので、ntpd や DNS など、サーバなどで使用している
ソフトウエアの設定を確認し、適切なアクセス制限や設定を施して使用するよ
うにしてください。


IV. 参考情報
    JPCERT/CC
    ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起
    https://www.jpcert.or.jp/at/2014/at140001.html

    JPCERT/CC
    DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起
    https://www.jpcert.or.jp/at/2013/at130022.html

    JPCERT/CC
    SHODANを悪用した攻撃に備えて −制御システム編−
    https://www.jpcert.or.jp/ics/report0609.html


今回の件につきまして、当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ