Blocking Memcached Exploit Zimbra

Info awal :

https://wiki.zimbra.com/index.php…

https://blog.cloudflare.com/memcrashed-major-amplification…/

https://medium.com/…/the-memcached-amplification-attack-rea…

Untuk yang menggunakan Zimbra dengan memcached terpasang (mandatory mulai Zimbra versi 8.7.x) segera eskalasikan dengan perintah :

zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1

zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1

Kemudian restart services. Untuk Zimbra < 8.7 yang pakai memcached, periksa file /opt/zimbra/bin/zmmemcachedctl dan sesuaikan.

nano “/opt/zimbra/bin/zmmemcachedctl”

search line ( line 70 ) : /opt/zimbra/${servicename}/bin/${servicename} -d -P ${pidfile}

ubah menjadi :

/opt/zimbra/${servicename}/bin/${servicename} -d -l 127.0.0.1 -P ${pidfile}

Hal ini terjadi karena memcached Zimbra default open ke 0.0.0.0 (all interface) sehingga bisa kena attack.

Setelah dilakukan, restart services dan pastikan ulang memcached services ada di interface 127.0.0.1

netstat -atupn | grep 11211

Untuk jaga-jaga, block port UDP 11211 outgoing dari interface public

Source : https://www.facebook.com/zezevavai


 

 



                                    Posted on: March 8, 2018, 
                                    by : 
                                    

Leave a Reply