由于MSP的监督,邮件服务器很容易被劫持
电子邮件验证由于构想后两年多的脆弱性,可能会通过网络钓鱼电子邮件对近200个澳大利亚组织产生影响的电子邮件来蒙羞。
现在解决了问题,该问题被追溯到托管服务提供商(MSP),该服务提供商(MSP)设计了组织的网站并管理其域名服务器(DNS)和电子邮件基础架构。beplay体育能用吗
有问题的MSP,优先组,“不幸的是,添加了极其验证的SPFDNS帕洛阿尔托网络的Caniphish and Cloud Security Architect的首席执行官Sebastian Salla告诉每个领域”每日swbeplay2018官网ig。
不要忘记阅读HTML走私:越来越多地用于针对银行业的新攻击技术
“因为MSP []添加了每一个AWS/16澳大利亚的地址阻止每个组织的SPF记录,任何Amazon Web Services(AWS)用户都可以旋转虚拟机并发送认证的电子邮件,就像来自这些组织一样。beplay体育能用吗” Salla告诉每日swbeplay2018官网ig。
根据博客文章由萨拉(Salla)今天(12月1日)发布,攻击者只需要获取不受目标组织控制的许多符合SPF的IP地址中的任何一个,以通过SPF和DMARC身份验证检查。
“您可以交叉引用这些地址块AWS的公共IP范围文件查看问题。” Salla补充说。
什么是SPF?
这发件人政策框架(SPF)是一种电子邮件身份验证机制,旨在检测表面上代表合法实体发送的欺诈性电子邮件。
组织规定了一个IP地址列表,该列表被授权在其SPF记录中代表其发送电子邮件,该记录在其DNS上发布。
因此,声称来自源自其SPF记录中未列出的IP地址的组织的电子邮件将被标记为可疑。
萨拉(Salla
“极端风险”
萨拉发现190组织受到MSP的SPF监督的影响,包括市议会,金融服务公司,货运服务公司,法律公司和建筑公司。
萨拉说:“鉴于这些组织中的许多组织都在(即在财产/金融服务及其周围)中,因此澳大利亚个人以商业电子邮件折衷攻击的形式存在极大的风险。”
“一个偶然发现这些组织的威胁演员可以找到客户并发送伪造的发票,采购订单等,并且绝对没有办法从假货中发现真实。”
萨拉(Salla)的发现始于“对数百个澳大利亚组织进行一次扫描”,浮出水面一个市议会/16其SPF记录中的地址块与“ AWS为澳大利亚EC2实例保留的每个IP地址 - 1,048,544 IP地址”重叠。
他通过创建一个具有授权IP地址的EC2实例来验证了他的怀疑,并向自己发送了一封电子邮件,该电子邮件模仿了绕过SPF和DMARC检查的理事会。
Salla发现,MSP的SPF记录自2019年3月以来就以其脆弱的形式存在。
修复
根据萨拉(Salla)的说法,优先小组在星期一(11月29日)修复了该问题 - 同一天,该问题受到澳大利亚网络安全中心的警报,研究人员于11月25日通知了该问题。
萨拉说,MSP“删除了所有过于宽容的/16地址块,并用实际上处于控制的邮件服务器的单个IP地址代替它们”,从而将“立即应用于所有受影响的客户的修复程序”。
萨拉(Salla)在这一领域的研究正在进行中。他解释说:“在接下来的几周/几个月中,当我开始扩大这些扫描范围并完善方法时,我完全希望将会确定更多的组织。”
优先组没有回应我们的置评请求。如果我们回音,将会更新本文。
你可能还喜欢松下在攻击者获得访问文件服务器后承认数据泄露
