RU
English
TCP
Опасный
Другое
Порт 111 (RPCbind)
Узнайте о порте 111 (RPCbind) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 111.
Краткая информация
Номер порта
111
Протокол
TCP
Сервис
RPCbind
Имя IANA
RPCbind
Описание сервиса
Порт 111 (TCP и UDP) широко известен как порт RPCbind (ранее известный как portmapper). RPCbind - это служба, которая преобразует номера программ RPC в универсальные адреса сети. Он необходим для работы RPC (Remote Procedure Call) в системах, где RPC используется для связи между процессами на разных машинах или внутри одной машины. Когда RPC-сервер запускается, он регистрирует свои доступные RPC-номера программ и порты с RPCbind. Затем RPC-клиент запрашивает у RPCbind адрес порта, соответствующий определенному RPC-номеру программы. RPCbind отвечает клиенту адресом, позволяя клиенту напрямую связаться с RPC-сервером. Это позволяет RPC-серверам динамически выбирать порты, а не использовать фиксированные порты, что упрощает администрирование системы.
На техническом уровне, RPCbind прослушивает порт 111 на TCP и UDP. Когда клиент делает запрос, он отправляет RPC-пакет, содержащий номер программы RPC, версию и протокол. RPCbind ищет соответствующую запись в своей таблице сопоставления. Если запись найдена, RPCbind возвращает адрес порта RPC-сервера клиенту. Если запись не найдена, RPCbind возвращает сообщение об ошибке. Протокол RPCbind определен в RFC 1833.
## Рекомендации по настройке файрвола
Рекомендуется блокировать порт 111 (TCP и UDP) для входящих соединений из внешних сетей. Если RPCbind необходим для сервисов, доступных извне, следует использовать брандмауэр для ограничения доступа только к доверенным IP-адресам или сетям. Кроме того, следует использовать механизмы аутентификации и авторизации для ограничения доступа к RPC-сервисам, зарегистрированным в RPCbind. Рассмотрите возможность использования TCP Wrappers или аналогичных инструментов для дополнительного контроля доступа. Поддерживайте RPCbind и связанные библиотеки в актуальном состоянии с последними исправлениями безопасности.
На техническом уровне, RPCbind прослушивает порт 111 на TCP и UDP. Когда клиент делает запрос, он отправляет RPC-пакет, содержащий номер программы RPC, версию и протокол. RPCbind ищет соответствующую запись в своей таблице сопоставления. Если запись найдена, RPCbind возвращает адрес порта RPC-сервера клиенту. Если запись не найдена, RPCbind возвращает сообщение об ошибке. Протокол RPCbind определен в RFC 1833.
## Рекомендации по настройке файрвола
Рекомендуется блокировать порт 111 (TCP и UDP) для входящих соединений из внешних сетей. Если RPCbind необходим для сервисов, доступных извне, следует использовать брандмауэр для ограничения доступа только к доверенным IP-адресам или сетям. Кроме того, следует использовать механизмы аутентификации и авторизации для ограничения доступа к RPC-сервисам, зарегистрированным в RPCbind. Рассмотрите возможность использования TCP Wrappers или аналогичных инструментов для дополнительного контроля доступа. Поддерживайте RPCbind и связанные библиотеки в актуальном состоянии с последними исправлениями безопасности.
Информация о безопасности
Порт 111, будучи центральным компонентом инфраструктуры RPC, представляет собой значительную цель для злоумышленников. Открытый и незащищенный RPCbind может быть использован для получения информации о доступных RPC-сервисах, что позволяет злоумышленнику идентифицировать потенциальные уязвимости в этих сервисах. Кроме того, злоумышленники могут использовать RPCbind для запуска атак типа "отказ в обслуживании" (DoS), отправляя большое количество запросов RPCbind, истощая ресурсы системы. Уязвимости в самом RPCbind (например, переполнение буфера или ошибки форматирования строк) также могут быть использованы для выполнения произвольного кода на целевой системе. Неправильная конфигурация, такая как разрешение доступа к RPCbind из недоверенных сетей, значительно увеличивает риск эксплуатации.
Известные уязвимости
| CVE | Название | Критичность | Описание |
|---|---|---|---|
| CVE-2016-4992 | glibc: getaddrinfo() stack-based buffer overflow | High | A stack-based buffer overflow vulnerability exists in the getaddrinfo() function in glibc, which can be triggered by RPCbind when handling long hostnames. This can lead to arbitrary code execution. |
| CVE-2016-8655 | libtirpc: Off-by-one heap overflow in svcunix.c | High | An off-by-one heap overflow vulnerability exists in libtirpc's svcunix.c, affecting RPCbind. This could lead to denial of service or potentially arbitrary code execution. |
| CVE-2017-8779 | rpcbind: Information disclosure vulnerability | Medium | An information disclosure vulnerability exists in rpcbind, potentially allowing attackers to gather sensitive information about registered services. |
| CVE-2019-14835 | libtirpc: Heap-based buffer over-read in rpc_buffer | Medium | A heap-based buffer over-read vulnerability exists in libtirpc, which can be triggered by RPCbind processing crafted RPC requests. This can lead to denial of service or information disclosure. |
Связанное вредоносное ПО
- Stacheldraht (used port 111 for coordination)
- Some variants of DDoS botnets may scan for open RPCbind services to exploit known vulnerabilities or launch amplification attacks.
Распространённое ПО
- NFS (Network File System)
- NIS (Network Information Service)
- rpc.statd
- rpc.mountd
- rpc.nfsd
- rpc.lockd
- ypbind
- Various other RPC-based applications
Найти устройства с этим портом
Обнаружьте все устройства с открытым портом 111 в любой стране.
Искать порт 111Найдите все устройства с открытым портом 111
ScaniteX сканирует миллионы IP-адресов для поиска устройств с определёнными открытыми портами. Идеально для исследований безопасности и аудита сети.
Начать массовое сканирование