Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
Una nueva técnica de explotación llamada Simple Mail Transfer Protocol (SMTP) smuggling puede ser utilizada por actores maliciosos para enviar correos electrónicos falsificados con direcciones de remitente falsas, mientras eluden las medidas de seguridad.
El Centro de Coordinación de Respuesta a Emergencias Informáticas (CERT/CC) emitió un aviso el 16 de enero de 2024, advirtiendo sobre ataques de SMTP smuggling que surgen como resultado de una vulnerabilidad en la forma en que los servidores SMTP y el software manejan las secuencias de fin de datos, lo que permite a un adversario hacerse pasar por cualquier remitente en cualquier dominio que se hospede en el servicio de correo de origen.
El SMTP smuggling se produce cuando un atacante envía un correo electrónico a un servidor SMTP que no es el servidor de correo de destino del destinatario. El servidor SMTP de origen acepta el correo electrónico y luego lo reenvía al servidor de correo de destino.
En el caso de los ataques de SMTP smuggling, el atacante puede aprovechar la vulnerabilidad para insertar una secuencia de fin de datos falsa en el correo electrónico. Esta secuencia de fin de datos falsa indica al servidor SMTP de destino que el correo electrónico ha terminado, incluso si el correo electrónico aún está en proceso de transmisión.
Esto permite al atacante insertar un remitente falso en el correo electrónico. El servidor de correo de destino no podrá detectar el remitente falso, ya que el correo electrónico parecerá haber terminado correctamente.
Los ataques de SMTP smuggling pueden utilizarse para una variedad de propósitos maliciosos, como el phishing, el malware y el ransomware.
Recursos afectados
- Servidores SMTP que no implementan correctamente las secuencias de fin de datos.
Mitigación
Postfix en las versiones 3.8.1, 3.7.6, 3.6.10 y 3.5.20 ya agregó la configuración "smtpd_forbid_unauth_pipelining" para terminar la conexión en caso de utilizar delimitadores que no cumplan con los requisitos de RFC 2920 y RFC 5321. En la versión 3.9 aparecerá por defecto; sin embargo, se lanzará esta versión en la primavera de 2024.
Sendmail 8.18.0.2 ofrecerá una opción 'o' en srv_features para habilitar el procesamiento de la secuencia "\r\n.\r\n" únicamente.
Recomendaciones
Para mitigar el riesgo de ataques de SMTP smuggling, las organizaciones pueden tomar las siguientes medidas:
- Implementar filtros de correo electrónico que puedan detectar correos electrónicos con secuencias de fin de datos falsas.
- Actualizar el software SMTP a la última versión, ya que las versiones más recientes suelen incluir correcciones para esta vulnerabilidad.
- Implementar medidas de seguridad adicionales, como la autenticación de correo electrónico, para ayudar a proteger los sistemas contra los ataques de SMTP smuggling.