La instalación por defecto viene con vulnerabilidades

Post Reply
whk102
Posts: 20
Joined: Thu May 05, 2016 11:47 am

La instalación por defecto viene con vulnerabilidades

Post by whk102 »

Hola, ayer me atacaron mi servidor Zimbra debido a la exposición del servicio memcached en el puerto 11211 haciendo que mi servidor ataque a un sitio externo, mi proveedor de hosting me ha avisado del ataque y efectivamente pude comprobar que el problema era el zimbra:
Estimado(a) Cliente,

Se ha detectado una actividad irregular en su servidor ........

No dude en contactar con nuestro soporte técnico para que esta situación
no se vuelva crítica.

Podrá encontrar más abajo los logs indicados por nuestro sistema que han
dado lugar a esta alerta.

- INICIO DE INFORMACIONES COMPLEMENTARIAS -

Attack detail : 26Kpps/289Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags packets bytes reason
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
2018.04.04 12:49:20 CEST 46.105.127.111:11211 59.56.76.97:80 UDP --- 16384 23691264 ATTACK:UDP
A lo cual me he documentado con lo siguiente:

https://blog.cloudflare.com/memcrashed- ... ort-11211/
https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack
https://blog.zimbra.com/2018/03/zimbra- ... hd-attack/

Este tema se comenzó a hablar en Febrero, el 1 de Marzo el blog de Zimbra habla sobre este tema y ofrece una solución en su wiki, mi instalación la hice a mediados de Marzo, incluso le habilité la opción para que descargara los paquetes desde el repositorio de github, por lo cual me aseguré de estar instalando la última versión de Zimbra oficial, pero de todos modos mi instalación venía afectada por la vulnerabilidad del memcached debido a que la instalación por defecto deja expuesto el puerto 11211 de cara hacia internet en ves de dejarla por defecto únicamente escuchando a 127.0.0.1.

Mucho ojo porque esto quiere decir que las últimas versiones de zimbra (a pesar de que el equipo de zimbra ya lo sabe) viene por defecto con esta vulnerabilidad.

Por otro lado: ¿Porqué zimbra aun no lo ha corregido y me ha expuesto a esta vulnerabilidad?
Post Reply