Nedavno otkriće otkrilo je ranjivosti na više hostovanih, odlaznih SMTP servera, omogućavajući autentifikovanim korisnicima i određenim pouzdanim mrežama da šalju e-poštu sa lažnim podacima o pošiljaocu.
Ove ranjivosti, CVE-2024-7208 i CVE-2024-7209, iskorištavaju slabosti u mehanizmima provjere autentičnosti i verifikacije koje obezbjeđuje Sender Policy Framework (SPF) i Pošta sa identifikacijom ključa domene (DKIM).
Tehnički opis ranjivosti
Ranjivosti proizlaze iz inherentne nesigurnosti SMTP protokola, kao što je istaknuto u RFC 5321 #7.1. SPF zapisi su dizajnirani da identificiraju IP mreže ovlaštene za slanje e-pošte u ime domene. U isto vrijeme, DKIM obezbjeđuje digitalni potpis za verifikaciju određenih dijelova SMTP-relejiVišestruki SMTP serveri ranjivi na lažne napade, neka hakeri zaobiđu autentifikaciju-Kiber.barane poruke.
Prema izvještaju CERT-a, DMARC kombinuje ove mogućnosti za poboljšanje sigurnosti e-pošte. Međutim, istraživači su otkrili da mnoge hostovane usluge e-pošte koje hostuju više domena ne provjeravaju na odgovarajući način autentificiranog pošiljatelja u odnosu na njihove dozvoljene identitete domene.
Ovaj previd omogućava autentificiranim napadačima da lažiraju identitete u zaglavlju poruke e-pošte, šaljući e-poštu kao bilo tko unutar hostiranih domena.
Uticaj i moguća zloupotreba
Uticaj ovih ranjivosti je značajan. Provjereni napadač može iskoristiti mrežnu ili SMTP autentifikaciju kako bi lažirao identitet dijeljenog hostinga, zaobilazeći DMARC politike i mehanizme za verifikaciju pošiljaoca.
To bi moglo dovesti do široko rasprostranjenog lažnog predstavljanja putem e-pošte, potkopavanja povjerenja u komunikaciju putem e-pošte i potencijalno izazivanja ozbiljne reputacije i finansijske štete pogođenim organizacijama.
| Ranjivost | Opis |
| CVE-2024-7208 | Omogućava autentificiranom pošiljatelju da lažira identitet dijeljene, hostovane domene, zaobilazeći DMARC, SPF i DKIM politike. |
| CVE-2024-7209 | Iskorišćava dijeljene SPF zapise u hosting provajderima sa više zakupaca, omogućavajući napadačima da koriste mrežnu autorizaciju za lažiranje identiteta e-pošte pošiljaoca. |
Provajderi hostinga domena koji nude usluge prijenosa e-pošte moraju primijeniti strože mjere verifikacije. Oni bi trebali osigurati da se identitet autentificiranog pošiljatelja provjerava u odnosu na identitete ovlaštene domene.
Provajderi usluga e-pošte bi takođe trebali koristiti pouzdane metode za provjeru da su identitet mrežnog pošiljaoca (MAIL FROM) i zaglavlje poruke (FROM:) konzistentni.
Implementacija softvera za filtriranje pošte , kao što je Milterfrom, može pomoći u provedbi ovih zahtjeva. Vlasnici domena bi trebali usvojiti stroge mjere za zaštitu svojih domena od lažnih napada.
Ovo uključuje korištenje DMARC politika zasnovanih na DNS-u (DKIM i SPF) za zaštitu identiteta pošiljatelja i brenda.
Za zaštitu identiteta visoke sigurnosti, vlasnici domena bi trebali razmotriti korištenje vlastitih DKIM objekata, neovisno o hosting provajderu, kako bi umanjili rizik od lažnih napada.
Kako e-pošta ostaje kritično komunikacijsko sredstvo, rješavanje ovih ranjivosti je od suštinskog značaja za održavanje integriteta i sigurnosti komunikacije putem e-pošte. Organizacije moraju djelovati brzo kako bi implementirale preporučena rješenja i zaštitile svoje domene od potencijalne zloupotrebe.
Izvor:CybersecurityNews
