Mediante el contrabando, se puede dividir un correo electrónico y los remitentes falsos eluden los mecanismos de autenticación como SPF, DKIM y DMARC. Mientras que las grandes empresas y proveedores de servicios de correo electrónico Microsoft, GMX e Ionos cesaron inmediatamente el contrabando, Cisco sigue considerando el peligro como una gran función, según la BSI.
El 18 de diciembre, la empresa de ciberseguridad SEC Consult publicó información sobre una nueva técnica de ataque que utiliza el "contrabando del protocolo simple de transferencia de correo (SMTP)". Con el contrabando de SMTP, los atacantes aprovechan el hecho de que diferentes implementaciones de SMTP interpretan de manera diferente la marca del final de un mensaje de correo electrónico.
SPF, DKIM y DMARC deshabilitados
Esto le permite enviar correos electrónicos que un sistema de correo electrónico afectado divide en varios correos electrónicos. De esta manera, se crean nuevos correos electrónicos que utilizan remitentes falsos (spoofing), eluden mecanismos de autenticación como SPF, DKIM y DMARC o ya no llevan advertencias como una bandera de spam en la línea de asunto.
Al explotar las diferencias en la interpretación de una secuencia entre los servidores SMTP salientes y entrantes, los atacantes pueden enviar correos electrónicos falsificados en nombre de dominios confiables. Esto, a su vez, permite una amplia variedad de ataques de ingeniería social o phishing. Uno En el artículo del blog publicado por SEC Consult se proporciona una explicación técnica detallada del contrabando SMTP..
Todas las empresas lo solucionan, sólo Cisco lo considera una característica
Como parte del proceso de divulgación responsable de la empresa, las grandes empresas identificadas por SEC Consult (Microsoft, Cisco, GMX/Ionos) con productos y servicios de TI afectados fueron informadas antes de la publicación para dar a Microsoft y GMX tiempo suficiente para corregir la vulnerabilidad. Luego protegieron sus servicios de correo electrónico contra el contrabando SMTP. Según SEC Consult, Cisco mantiene
el problema encontrado en Cisco Secure Email (Cloud) Gateway (local/basado en la nube) es una característica y no una vulnerabilidad. El problema en Cisco Secure Email Gateway es el manejo (predeterminado) de CR y LF: esto permite mensajes con caracteres CR y LF y convierte caracteres CR y LF en caracteres CRLF. Este comportamiento permite la recepción de correos electrónicos falsos con DMARC válido.
El punto débil no reside en las normas subyacentes, sino en su aplicación, a menudo inadecuada. El ataque se puede mitigar con relativamente poco esfuerzo mediante una interpretación más estricta de RFC5321 y RFC5322 y el uso del comando BDAT, en el que el remitente especifica explícitamente el tamaño de los datos.
BSI recomienda medidas para Cisco Secure Email
La BSI recomienda instalar los parches proporcionados y asegurarse de que los sistemas de TI utilizados estén configurados de modo que solo se admitan identificadores finales que cumplan con RFC. Para el producto de TI (local/basado en la nube) Cisco Secure Email (Cloud) Gateway, SEC Consult recomienda ajustar la configuración de manejo de CR y LF al comportamiento "Permitir" para proteger contra ataques mediante el contrabando SMTP.
La BSI ya proporciona información sobre parches disponibles y medidas de mitigación para los usuarios del sistema a través del portal de servicios de información y advertencias (WID). Por ejemplo, los desarrolladores de Postfix proporcionan instrucciones para una solución alternativa.. Se puede suponer que los fabricantes de productos de infraestructura de correo electrónico previamente anónimos también publicarán soluciones o parches que resuelvan el problema en los próximos días.
Más en BSI.Bund.de
Acerca de la Oficina Federal para la Seguridad de la Información (BSI) La Oficina Federal para la Seguridad de la Información (BSI) es la autoridad federal de seguridad cibernética y el diseñador de la digitalización segura en Alemania. La declaración de misión: El BSI, como autoridad federal de seguridad cibernética, diseña la seguridad de la información en la digitalización a través de la prevención, detección y respuesta para el estado, las empresas y la sociedad.