Debido a que memcached no soporta autentificación, cualquiera puede tener control completo sobre las claves y valores almacenados si el servicio es accesible desde Internet. También puede ser empleado para realizar ataques de denegación de servicio por amplificación como está sucediendo en los ultimos tiempos.
Para comprobar si el servicio está activo se puede utilizar el siguiente comando:
nmap -Pn -n -p T:11211,U:11211 -script=memcached-info -T5 {IP}
printf “stats\r\n” | nc {IP} 11211
printf “stats\r\n” | nc -u {IP} 11211
La acciones/medidas más sencillas a tomar serían:
1. Filtrar los puertos 11211/tcp y 11211/udp en el router/firewall de acceso.
2. Permitir acceso a los puertos 11211/tcp y 11211/udp por IP o red origen en el router/firewall de acceso.
3. Configurar el servicio Memcached para que solo escuche en localhost (127.0.0.1).
Fuente: https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/