Utilizzando il contrabbando è possibile suddividere un'e-mail e i falsi mittenti aggirano i meccanismi di autenticazione come SPF, DKIM e DMARC. Mentre le grandi aziende e i fornitori di servizi di posta elettronica Microsoft, GMX e Ionos hanno immediatamente smesso di contrabbandare, Cisco continua a considerare il pericolo come una grande funzione, secondo BSI.
Il 18 dicembre, la società di sicurezza informatica SEC Consult ha rilasciato informazioni su una nuova tecnica di attacco che utilizza il “Simple Mail Transfer Protocol (SMTP) Smuggling”. Con lo smuggling SMTP gli aggressori approfittano del fatto che diverse implementazioni SMTP interpretano diversamente la marcatura della fine di un messaggio e-mail.
SPF, DKIM e DMARC disabilitati
Ciò consente di inviare e-mail suddivise in più e-mail da un sistema di posta elettronica interessato. In questo modo vengono create nuove e-mail che utilizzano mittenti falsi (spoofing), aggirano meccanismi di autenticazione come SPF, DKIM e DMARC o non riportano più avvisi come un flag di spam nell'oggetto.
Sfruttando le differenze nell'interpretazione di una sequenza tra i server SMTP in uscita e in entrata, gli aggressori possono inviare e-mail contraffatte per conto di domini attendibili. Ciò a sua volta consente un’ampia varietà di attacchi di ingegneria sociale o phishing. Uno Una spiegazione tecnica dettagliata del contrabbando SMTP è fornita nell'articolo del blog pubblicato da SEC Consult.
Tutte le aziende lo risolvono: solo Cisco lo considera una funzionalità
Nell'ambito del processo di divulgazione responsabile dell'azienda, le grandi aziende identificate da SEC Consult (Microsoft, Cisco, GMX/Ionos) con prodotti e servizi IT interessati sono state informate prima della pubblicazione per dare a Microsoft e GMX tempo sufficiente per correggere la vulnerabilità. hanno quindi protetto i propri servizi di posta elettronica dal contrabbando SMTP. Secondo SEC Consult, Cisco tiene
il problema riscontrato nel gateway Cisco Secure Email (Cloud) (on-prem/basato su cloud) per una funzionalità e non per una vulnerabilità. Il problema in Cisco Secure Email Gateway è la gestione (predefinita) CR e LF: ciò consente messaggi con caratteri CR e LF e converte i caratteri CR e LF in caratteri CRLF. Questo comportamento consente la ricezione di email false con DMARC valido.
Il punto debole non risiede negli standard sottostanti, ma nella loro attuazione, spesso inadeguata. L'attacco può essere mitigato con uno sforzo relativamente piccolo attraverso un'interpretazione più rigorosa di RFC5321 e RFC5322 e l'uso del comando BDAT, in cui il mittente specifica esplicitamente la dimensione dei dati.
BSI raccomanda misure per Cisco Secure Email
La BSI consiglia di installare le patch fornite e di assicurarsi che i sistemi IT utilizzati siano configurati in modo tale da supportare solo gli identificatori finali conformi a RFC. Per il prodotto IT (on-premise/basato su cloud) Cisco Secure Email (Cloud) Gateway, SEC Consult consiglia di adattare la configurazione di gestione CR e LF al comportamento "Consenti" per proteggersi dagli attacchi tramite il contrabbando SMTP.
Il BSI fornisce già informazioni sulle patch disponibili e sulle misure di mitigazione per gli utenti del sistema tramite il portale dei servizi di avviso e informazione (WID). Ad esempio, gli sviluppatori di Postfix forniscono istruzioni per una soluzione alternativa. Si può presumere che nei prossimi giorni anche i produttori di prodotti per infrastrutture di posta elettronica precedentemente anonimi pubblicheranno soluzioni alternative o patch che risolveranno il problema.
Maggiori informazioni su BSI.Bund.de
Informazioni sull'Ufficio federale per la sicurezza delle informazioni (BSI) L'Ufficio federale per la sicurezza informatica (BSI) è l'autorità federale per la sicurezza informatica e il progettista della digitalizzazione sicura in Germania. La missione: la BSI, in qualità di autorità federale per la sicurezza informatica, progetta la sicurezza delle informazioni nella digitalizzazione attraverso la prevenzione, il rilevamento e la risposta per lo stato, le imprese e la società.