В популярной системе кэширования Memcached обнаружена новая уязвимость, которая вызывает серьёзную обеспокоенность у специалистов по информационной безопасности. Исследователи подтвердили, что дефект относится к классу timing side-channel (канальная утечка информации через анализ времени отклика) и даёт возможность атакующим перечислять действительные имена пользователей.
Уязвимость CVE-2026-47783
Проблеме присвоен идентификатор CVE-2026-47783. Она затрагивает все версии Memcached до 1.6.42 включительно и непосредственно связана с механизмом аутентификации через SASL - Simple Authentication and Security Layer (простой слой аутентификации и безопасности), который отвечает за проверку парольной базы данных.
Корень уязвимости кроется в некорректной логике проверки имени пользователя. Когда система обрабатывает запрос на аутентификацию, внутренний цикл, осуществляющий поиск совпадения, прерывается сразу же, как только находит валидное имя. Такое поведение приводит к измеримым различиям во времени ответа между запросами с существующим и несуществующим пользователем.
Злоумышленник может направить множество повторных запросов на аутентификацию и проанализировать временны́е расхождения. Более быстрый ответ будет указывать на то, что имя пользователя действительно зарегистрировано в системе. Для эксплуатации не требуется прямого доступа к защищённым данным - достаточно лишь возможности отправлять запросы удалённо.
Атаки такого рода особенно опасны в средах, где Memcached доступен из ненадёжных сетей. После того как злоумышленник соберёт список легитимных учётных записей, он может объединить эту информацию с подбором паролей или атакой credential stuffing (использование украденных паролей для входа в другие сервисы). В результате высока вероятность получения несанкционированного доступа к системе.
Несмотря на то что дефект может показаться малозначительным, его воздействие существенно возрастает при сочетании с другими слабостями в механизмах аутентификации или неправильной настройкой сетевой доступности. Многие организации по-прежнему оставляют порты Memcached открытыми в интернет, что делает их идеальными мишенями.
Разработчики учли эту угрозу при выпуске версии 1.6.42. Они устранили проблему временно́го канала, приведя время обработки запросов к единому значению вне зависимости от того, найден пользователь или нет. Таким образом, злоумышленник больше не сможет различить валидные и невалидные имена по скорости ответа.
Вместе с CVE-2026-47783 в новую версию вошло множество других исправлений, касающихся повреждения памяти, аварийных завершений работы и ошибок обработки протоколов. В частности, инженеры устранили знаковое переполнение при разборе бинарного протокола, ликвидировали сбои, вызванные некорректными входными данными или слишком большими токенами, и решили проблему состояния гонки при перезагрузке аутентификационных данных. Кроме того, исправлены ошибки неполного чтения памяти и разбора буферов в прокси-компонентах, а также сбои, связанные с перераспределением slab-блоков и несоответствиями протокола.
Стоит отметить, что не все сообщённые дефекты получили собственные идентификаторы CVE. Сопровождающие проекта пояснили, что оценка серьёзности была ограничена из-за большого количества отчётов. Они призвали разработчиков самостоятельно запрашивать CVE для тех проблем, которые они считают критическими.
Несмотря на то что часть уязвимостей трудно эксплуатировать в реальных условиях, специалисты по безопасности настоятельно рекомендуют обновить Memcached до версии 1.6.42 как можно быстрее. Даже если атака кажется сложной, непропатченные системы остаются уязвимыми, особенно в конфигурациях с доступом из ненадёжных сетей или с ошибками в настройках.
Для администраторов это означает, что защита начинается с простого, но критически важного шага - установки обновления. После обновления следует перепроверить сетевые правила: порт Memcached по умолчанию (11211) не должен быть открыт для произвольных внешних подключений. В сочетании с патчем это снизит риск как прямой атаки по времени, так и последующей компрометации учётных записей.
Текущий инцидент ещё раз напоминает, что даже устоявшиеся и широко используемые компоненты инфраструктуры могут содержать неочевидные, но опасные уязвимости. Timing side-channel остаётся одним из самых коварных классов дефектов, поскольку он не требует прямого вмешательства в данные - достаточно лишь терпеливого анализа поведения системы. Поэтому своевременное обновление и грамотная сетевая изоляция остаются главными инструментами защиты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-47783
- https://github.com/memcached/memcached/wiki/ReleaseNotes1642
- https://github.com/memcached/memcached/commit/d13f282b4bce33a9c33b8a1bbf07f12114160fed
- https://github.com/memcached/memcached/compare/1.6.41...1.6.42
