Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
+39 0521 618591

logo zimbra    logo zimbra suite plus

02 Mar

Tips & Tricks : Blocking Memcached Exploit

Creato: 02 Marzo 2018

Zimbra Memcached può subire un attacco " memcrashd " sulla porta 11211. Memcached di default controlla gli indirizzi IP dei server, nelle reti e in Internet, dove non è presente un firewall.

Se i tuoi server Zimbra Memcache sono protetti da firewall, ti consigliamo di bloccare l'accesso sulla porta 11211 da Internet verso i server zimbra memcache. Una volta fatto, non è necessario seguire ulteriori passaggi su questo wiki.

Se il tuo server Zimbra Memcache NON è protetto da un firewall e accessibile tramite Internet, procedi come sotto.

Per installazione Zimbra Single Server

Configura memcached per ascoltare l'indirizzo 127.0.0.1. Usa i comandi sottostanti.

 su - zimbra
 / opt / zimbra / bin / zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1 
 / opt / zimbra / bin / zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1

Riavvia memcached:

 zmmemcachedctl restart

Per installazione Zimbra Multi Server

Nella configurazione multi-server di Zimbra, la soluzione alternativa è bloccare l'accesso UDP sulla porta 11211. Innanzitutto è necessario abilitare/avviare iptables o ufw sul server. Assicurati che le altre porte di zimbra non siano bloccate nel firewall. Esegui i comandi sottostanti nella sequenza indicata su TUTTI i server memcache.

Regole di Iptables per i server basati su RedHat

 iptables -I INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT
 iptables -I INPUT -p udp --dport 11211 -j DROP

Regole UFW per server basati su Ubuntu

 ufw consentire da 127.0.0.1 proto udp a qualsiasi porta 11211 
 ufw negare da qualsiasi proto udp a qualsiasi porta 11211 

La comunicazione TCP sarà consentita tra i nodi zimbra memcache/proxy/mailbox.

Verifica

Sotto comando dovrebbe dare una risposta vuota quando viene eseguito da qualsiasi host tranne localhost.

echo -en "\ x00 \ x00 \ x00 \ x00 \ x00 \ x01 \ x00 \ x00stats \ r \ n" | nc -q1 -u <IP del server zimbra memcache> 11211

Se vedi una risposta non vuota che contiene dettagli PID, il tuo server è vulnerabile .

Il comando sopra può fallire sui server redhat perché nc non ha l'opzione "-q". Puoi usare "-w 1".