На одной из крупнейших конференций BlackHat публично освящен доклад, в докладе рассказывалось об организации атаки на memcached,с помощью которой возможно получить доступ к закрытой информации на сервере, такой как пароли пользователей, всего лишь используя некорректные настройки системы кэширования Memcached. Проблема в том, что некоторые владельцы сервера или администраторы используют привязку Memcached к реальному IP (при запустке memcached на одном хосте с сайтом рекомендуется привязать его к адресу 127.0.0.1), забывая блокировать внешний сетевой порт 11211 межсетевым экраном.

По техническим причинам в Memcached отсутствуют средства аутентификации, таким образом при наличии доступа к открытому сетевому порту злоумышленник может легко получить полный доступ (чтение и запись) ко всем хранимым в кэше данным. На первый взгляд может показаться, что атаке могут быть подвержены только сайты, на которых используются стандартные web-приложения для которых известна логика формирования ключей для хранения данных в кэше. Но это не так, дело в том, что значения ключей для закрытого сервиса можно легко вычислить используя встроенные в Memcached отладочные инструменты и команды для просмотра статистики. В качестве демонстрации, приводится пример получения доступа к одному из аккаунтов социальной сети Gowalla.

В докладе так же обращается внимание на распространенность подобных ошибок, интернет оказался буквально наводнен сайтами с незакрытым портом memcached, среди которых встречаются такие крупные ресурсы как Gowalla, bit.ly и PBS. Сканирование IP-адресов в течение 50-ти дней выявило в сети 229 серверов не блокирующих доступ к Memcached. В загруженных из кэша этих серверов данных, были обнаружены пароли (открытые и MD5), email-адреса, разнообразные сериализованные объекты, параметры пользовательских профилей и другая информация. Интересен также способ, которым экспериментаторы пользовались для определения соответствующего MD5-хэшу пароля — хэш достаточно было запросить в поисковой системе Google.

Для автоматизации проведения атаки, выявления важной информации из отладочных slab-дампов Memcached и подстановки своих данных в кэш автор доклада подготовил специальную утилиту go-derper.

По неподтвержденной пока информации — недавний нашумевший взлом аккаунтов в LiveJournal связан с уязвимостью такого класса, так как у LJ очень большая сеть memcached-серверов, если на одном забыть настроить фаервол, то этого будет достаточно для взлома группы аккаунтов. Официально LiveJournal говорили, что был BrouteForce и перехват паролей троянами, но слишком уж много пользователей божилось, что пароли у них были не словарные и Windows они не пользуются или обложены антивирусами со всех сторон, не нашедших никаких троянов.