Recientemente estuve lidiando con una incidencia, un servidor de correo infectado con el exploit 0day, lo que hace este exploit es que mediante solicitudes SOAP y utilizando el password del LDAP de ZIMBRA recupera – modifica, información sensible de los usuarios y permite al atacante ingresar mediante escalado de privilegios a la consola de administración web de ZIMBRA que esta escuchando en el puerto 7071.
Los síntomas del aplicativo infectado:
- Se crean cuentas de usuarios que repentinamente son eliminadas.
- Numerosas conexiones internas y externas hacia el puerto 7071.
- A nivel INFO del sistema de log de zimbra no se observa registros sospechoso (actividad normal del aplicativo).
En esta URL esta el detalle sobre el exploit. El fix (solución) aplicado para mitigar el ataque seria contrarrestar las conexiones hacia el puerto 7071, de manera tal que la solicitud SOAP que modfica la BD del LDAP falle al conectarse ademas de otras reglas. El bloque de ejecucion seria:
#La ip de tu maquina para acceder a la consola de administración web.
iptables -A INPUT -s 0.0.0.0 -p tcp –dport 7071 -j ACCEPT
#Permitimos operaciones locales
iptables -A INPUT -s localhost -p tcp –dport 7071 -j ACCEPT
#Bloqueamos el resto
iptables -A INPUT -p tcp –dport 7071 -j DROP
Mas información
Si estas buscando mas sobre el tema, puedes visitar esta otra URL del post en el foro de ZIMBRA donde prácticamente documente todo (ingles). Espero les ayude, nos vemos.