Olá! Nesse artigo gostaria de compartilhar com vocês alguns ajustes de segurança no Zimbra para evitar o exploit “Memcrashed” do serviço Memcache, que é executado pelo serviço de Proxy do Zimbra.
Neste artigo, é explicada a vulnerabilidade chamada de Memcrashed. Recomendo a leitura.
Vamos aos ajustes de segurança no Zimbra !
Para aplicar os ajustes de segurança, é necessário conhecer como o seu ambiente Zimbra está instalado.
Para todos os ambientes que estejam atrás de Firewall, é fundamental que o acesso da Internet para a porta 11211 (TCP e UDP) do servidor Zimbra seja bloqueada.
Por padrão, o serviço do Memcache escuta em todas as interface de rede, para ambientes Single Server, onde todos os serviços estão instalados em um único servidor, o memcache deve ser ajustado para escutar somente na interface local (IP 127.0.0.1):
su – zimbra
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1
Para ambientes Multi-Server, onde os serviços estão separados em servidores diferentes, as seguintes regras devem ser criadas nos servidores onde o módulo PROXY é executado:
- Bloquear o acesso da internet para a porta 11211 (TCP e UDP) do(s) servidor(es) PROXY do Zimbra
- Permitir conexões do endereço de IP local (127.0.0.1)
- Permitir conexões a partir dos outros servidores PROXY do ambiente
No artigo sobre esta correção na Wiki da Zimbra são fornecidos alguns exemplos para criar a regra utilizando o Iptables ou UFW:
https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack
Excelente Fábio!
Obrigado, Tiago!