Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 4638 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL mail relay spoof

OfficeDefender
It appears that hackers have figured out how to use ASL as an illegal mail relay.  Spammers are sending mail as if it's coming from port 25 on a legitimate mail server (e.g. AOL), and into Astaro on a high ephemeral port (e.g. 43300) with ACK PSH.  The same packet is sent again, to the same port, as ACK FIN.  Astaro then turns that packet around and sends it back to the "source" (the spoofed IP address) and it appears to that mail server as a legitimate packet and it is processed.  The result is that ASL can become an open relay.  Somehow, ASL is absorbing these illegal packets and processing them rather than rejecting them by default.   


This thread was automatically locked due to age.
  • 0 in reply to uncue75
    Looks good, except the five day thing; unless I missed a clause in another section, I would add that all bets are off if the exploit is "common knowledge" in the hacker community.

    What's "common knowledge"? That's not always a black and white classification, but one clear-cut criteria is if it's been posted on a publicly accessible site (like packetstorm).

    Once I get the info on how an exploit works, in most cases I can go about taking measures to cordon off that exploit.
      
  • 0 in reply to SecApp
    I wouold agree as well.  Normally if you have found a exploit, you can find out if it common knowledge based on what you know about how it works and what is involved.  More than likely if it is common knowledge as fast as things move now a days it will have already been patched.

    from the FAQ section:
    Q. I'm a software maintainer, and I can't possibly fix the problem in 5 days....
    A. You don't have to. If you (re)read the above, you have 5 days to establish communication. Provided you cooperate with the researcher and keep them 'in the loop', they should provide you with whatever time necessary to resolve the ISSUE (within fair reason).


    They just want you to respond in 5 days and not act like a lot people do with the attitude that the person reporting the problem is crazy and there CAN'T be a problem with your application.
     
  • 0 in reply to uncue75
    Heavy sigh.

    I was just informed that this issue has been resolved.  The sysadmin responsible for the inside network found Klez, killed it, and then the problem of course disappeared.  

    While this is certainly a relief, I am truly sorry for the hysteria this issue brought upon all of us.  

    Happy Turkey Day, folks.

    -Steve 
  • 0 in reply to OfficeDefender
    No problem; I'm kinda of embarressed myself for not having postulated that as another possibility: a trojan with its own SMTP stack...
      
  • 0 in reply to OfficeDefender
    Mext time before you write in this forum check yours computers for virus behinds the firewall. Many people in here can be afraid if you not have facts about bugs in ASL.