TCP Опасный Базы данных

Порт 11211 (Memcached)

Узнайте о порте 11211 (Memcached) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 11211.

Краткая информация

Номер порта

11211

Протокол

TCP

Сервис

Memcached

Имя IANA

Memcached

Описание сервиса

Порт 11211 (TCP) является стандартным портом для Memcached, высокопроизводительной распределенной системы кэширования объектов в памяти. Memcached используется для ускорения динамических веб-приложений путем уменьшения нагрузки на базы данных. Он работает, кэшируя данные и объекты в оперативной памяти, чтобы уменьшить количество раз, когда внешняя база данных или источник данных должны быть прочитаны. Memcached использует архитектуру клиент-сервер. Клиентские приложения отправляют запросы на добавление, получение или удаление данных в Memcached-сервер, используя простой текстовый протокол или бинарный протокол. Данные хранятся в виде пар ключ-значение, где ключ используется для поиска значения в кэше. Memcached автоматически управляет кэшем, вытесняя старые или менее используемые элементы, когда память заполняется, используя алгоритм Least Recently Used (LRU) или его варианты. Изначально разработанный для LiveJournal, Memcached быстро приобрел популярность благодаря своей простоте и эффективности.

## Рекомендации по настройке файрвола

Рекомендуется блокировать порт 11211 (TCP) на брандмауэре, если Memcached не должен быть доступен извне. Если Memcached должен быть доступен для определенных клиентов, настройте брандмауэр, чтобы разрешить доступ только с этих IP-адресов. В идеале, Memcached должен быть доступен только локально (например, только на localhost или через VPN). Рассмотрите возможность использования аутентификации (например, SASL) для защиты доступа к Memcached, если это поддерживается вашей версией и клиентами. Регулярно обновляйте Memcached до последней версии, чтобы исправить известные уязвимости. Мониторинг активности на порту 11211 может помочь обнаружить подозрительную активность и предотвратить атаки.

Информация о безопасности

Memcached, при неправильной настройке, может представлять серьезные риски безопасности. Основная проблема заключается в том, что по умолчанию Memcached не требует аутентификации и прослушивает входящие соединения на всех интерфейсах. Это означает, что если Memcached-сервер доступен извне (например, через Интернет), любой может получить доступ к кэшированным данным или использовать сервер для усиления DDoS-атак. Злоумышленники могут использовать Memcached для получения конфиденциальной информации, такой как учетные данные, сеансовые данные или другая информация, хранящаяся в кэше. Кроме того, они могут использовать Memcached-сервер для отправки большого количества данных на целевой сервер (DDoS amplification), что может привести к отказу в обслуживании. Отсутствие аутентификации и открытый доступ делают Memcached привлекательной мишенью для злоумышленников.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2018-1000115	Memcached не требует аутентификации	Critical	Memcached по умолчанию не требует аутентификации, что позволяет любому, кто может подключиться к порту 11211, получить доступ к данным в кэше и манипулировать ими.
CVE-2018-1000116	Memcached DDoS Amplification	High	Memcached может быть использован для усиления DDoS-атак. Злоумышленник отправляет небольшой запрос на Memcached-сервер, который отвечает большим объемом данных на целевой сервер.
CVE-2016-10707	Memcached информационное раскрытие	Medium	Уязвимость раскрытия информации существует в Memcached из-за того, что оно не обнуляет память при вытеснении элементов, что позволяет локальным пользователям получить доступ к информации, ранее хранящейся в кэше.

Связанное вредоносное ПО

There are no specific, widely known malware families that exclusively target Memcached on port 11211. However, botnets and other malicious actors may exploit vulnerable Memcached instances as part of broader attacks, such as DDoS amplification attacks (e.g., using the 'get' command with very large keys to amplify traffic).