□ 개요

o Memcached 서비스를 악용한 대규모 분산 서비스 거부 공격이 발생하여 주의 필요

o 공격자는Memcached 서비스의 UDP 포트(11211)에 악성 패킷을 전송하여 피해 대상 시스템에 서비스 거부를 유발시킬 수 있으므로, 아래 대응 방안에 따른 조치 권고

□ 주요 내용

 o memcached의 네트워크 메시지 볼륨 크기에 대한 검증 미흡으로 트래픽을 임의로 증폭 시킬 수 있는 서비스 거부 공격 (CVE-2018-1000115)

   ※ 공격자는 memcached 서비스의 UDP 기본 포트(11211)를 통해 공격 수행

□ 대응 방안 (※ 자사 서비스 환경을 고려한 보호 대책 적용)

 (1) UDP 포트 기본 비활성화 설정

   - memcached-1.5.6 버전으로 업데이트]

   - 명령어를 통한 UDP 비활성화 설정 방법

     ∙ memcached 실행 시 ‘-U 0’ 옵션을 추가하여 실행]

 (2) 접근 통제 설정

   - 방화벽 설정

     ∙ 인가된 IP만memcached 서비스에 접근할 수 있도록 접근 통제 실시

     ∙ 외부에서 UDP 포트(11211)를 사용하지 않는 경우 해당 포트 차단

   - 설정 파일 편집

     ∙ 로컬 호스트에서만 UDP 포트에 접근할 수 있도록 설정

[참고사이트]

 [1] https://github.com/memcached/memcached/wiki/ReleaseNotes156

 [2] https://github.com/memcached/memcached/wiki/ConfiguringServer#udp

 [3] https://access.redhat.com/solutions/3369081