Un reciente descubrimiento del CERT ha sacudido el mundo de la ciberseguridad, revelando significativas vulnerabilidades en varios servidores SMTP. Estas brechas permiten a los usuarios autenticados y a ciertas redes de confianza enviar correos electrónicos con información de remitente falsificada.
Las vulnerabilidades, identificadas como CVE-2024-7208 y CVE-2024-7209, explotan debilidades en los mecanismos de autenticación y verificación proporcionados por el Sender Policy Framework (SPF) y el Domain Key Identified Mail (DKIM). A través de estas brechas, los atacantes pueden eludir la autenticación, los informes y la conformidad de mensajes basada en dominios (DMARC), falsificando las identidades de los remitentes con facilidad.
Descripción Técnica de las Vulnerabilidades
Estas vulnerabilidades se derivan de la inseguridad inherente del protocolo SMTP, tal como se describe en el RFC 5321 #7.1. Los registros SPF están diseñados para identificar las redes IP autorizadas para enviar correos electrónicos en nombre de un dominio, mientras que DKIM proporciona una firma digital para verificar partes específicas del mensaje retransmitido por SMTP.
El informe del CERT señala que DMARC combina estas capacidades para mejorar la seguridad del correo electrónico. Sin embargo, muchos servicios de correo electrónico que alojan múltiples dominios no verifican adecuadamente al remitente autenticado con sus identidades de dominio permitidas.
CVE-2024-7208 permite que un remitente autenticado suplante la identidad de un dominio compartido alojado, evadiendo las políticas DMARC, SPF y DKIM.
CVE-2024-7209 explota los registros SPF compartidos en proveedores de alojamiento multiusuario, permitiendo a los atacantes utilizar la autorización de red para suplantar la identidad de correo electrónico del remitente.
Este descuido posibilita que los atacantes autenticados falsifiquen identidades en el encabezado del mensaje de correo electrónico, enviando correos electrónicos como cualquier persona dentro de los dominios alojados.
Impacto y Medidas de Protección
El impacto de estas vulnerabilidades es significativo. Un atacante autenticado puede explotar la autenticación de red o SMTP para falsificar la identidad de una instalación de alojamiento compartido, eludiendo las políticas de DMARC y los mecanismos de verificación del remitente. Esto podría llevar a una suplantación de identidad generalizada por correo electrónico, socavando la confianza en las comunicaciones electrónicas y potencialmente causando graves daños financieros y de reputación a las organizaciones afectadas.
Para mitigar estos riesgos, los proveedores de alojamiento de dominios que ofrecen servicios de retransmisión de correo electrónico deben implementar medidas de verificación más estrictas. Es crucial asegurar que la identidad de un remitente autenticado se verifique con identidades de dominio autorizadas.
Asimismo, los proveedores de servicios de correo electrónico deben utilizar métodos confiables para verificar que la identidad del remitente de la red (MAIL FROM) y el encabezado del mensaje (FROM:) sean consistentes. Los propietarios de dominios deben tomar medidas estrictas para garantizar que su política DMARC basada en DNS (DKIM y SPF) proteja la identidad del remitente y a sus usuarios y marcas de los abusos causados por la suplantación de identidad.
Si se espera que un dominio proporcione una alta seguridad de identidad, el propietario del dominio debe utilizar su propia función DKIM, independientemente del proveedor de alojamiento o email, para reducir el riesgo de ataques de suplantación de identidad.
Referencias:
