3+ εκατ. διακομιστές email εκτεθένται σε sniffing επιθέσεις

Ενημέρωση 03 Ιανουαρίου, 10:23 EST: Ο Shadowserver ανέστειλε τις αναφορές IMAP και POP3 TLS λόγω πιθανών ψευδώς θετικών.

Πάνω από τρία εκατομμύρια διακομιστές αλληλογραφίας POP3 και IMAP χωρίς κρυπτογράφηση TLS είναι επί του παρόντος εκτεθειμένοι στο Διαδίκτυο και είναι ευάλωτοι σε επιθέσεις ανίχνευσης δικτύου.

Το IMAP και το POP3 είναι δύο μέθοδοι για την πρόσβαση στο email σε διακομιστές αλληλογραφίας. Το IMAP συνιστάται για έλεγχο μηνυμάτων ηλεκτρονικού ταχυδρομείου από πολλές συσκευές, όπως τηλέφωνα και φορητούς υπολογιστές, επειδή διατηρεί τα μηνύματά σας στο διακομιστή και τα συγχρονίζει μεταξύ των συσκευών. Το POP3, από την άλλη πλευρά, κατεβάζει email από τον διακομιστή, καθιστώντας τα προσβάσιμα μόνο από τη συσκευή από την οποία λήφθηκαν.

Θα πρέπει επίσης να σημειωθεί ότι πολλές εταιρείες φιλοξενίας διαμορφώνουν τις υπηρεσίες POP3 ή IMAP από προεπιλογή, ακόμα κι αν δεν τις χρησιμοποιεί κανένας χρήστης.

Το πρωτόκολλο ασφαλούς επικοινωνίας TLS βοηθά στην ασφάλεια των πληροφοριών των χρηστών κατά την ανταλλαγή και την πρόσβαση στα email τους μέσω του Διαδικτύου μέσω εφαρμογών πελάτη/διακομιστή. Ωστόσο, όταν η κρυπτογράφηση TLS δεν είναι ενεργοποιημένη, τα περιεχόμενα και τα διαπιστευτήρια των μηνυμάτων τους αποστέλλονται σε καθαρό κείμενο, εκθέτοντάς τους σε επιθέσεις υποκλοπής μέσω δικτύου.

Όπως δείχνουν οι σαρώσεις από την πλατφόρμα παρακολούθησης απειλών ασφαλείας ShadowServer Shadowserver, περίπου 3,3 εκατομμύρια κεντρικοί υπολογιστές εκτελούν υπηρεσίες POP3/IMAP χωρίς ενεργοποιημένη κρυπτογράφηση TLS και εκθέτουν ονόματα χρήστη και κωδικούς πρόσβασης σε απλό κείμενο όταν μεταδίδονται μέσω Διαδικτύου.

Ο ShadowServer είναι τώρα ειδοποιεί χειριστές διακομιστών αλληλογραφίας που οι διακομιστές POP3/IMAP τους δεν έχουν ενεργοποιημένο το TLS, εκθέτοντας τα μη κρυπτογραφημένα ονόματα χρήστη και τους κωδικούς πρόσβασης των χρηστών σε επιθέσεις sniffing.

“Αυτό σημαίνει ότι οι κωδικοί πρόσβασης που χρησιμοποιούνται για πρόσβαση αλληλογραφίας ενδέχεται να υποκλαπούν από έναν ανιχνευτή δικτύου. Επιπλέον, η έκθεση στην υπηρεσία μπορεί να επιτρέψει επιθέσεις εικασίας κωδικών πρόσβασης κατά του διακομιστή,” Shadowserver είπε.

“Εάν λάβετε αυτήν την αναφορά από εμάς, ενεργοποιήστε την υποστήριξη TLS για το IMAP και εξετάστε εάν η υπηρεσία πρέπει να ενεργοποιηθεί καθόλου ή να μετακινηθεί πίσω από ένα VPN.”

​Η αρχική προδιαγραφή TLS 1.0 και ο διάδοχός της, TLS 1.1, χρησιμοποιούνται για σχεδόν δύο δεκαετίες, με το TLS 1.0 να παρουσιάζεται το 1999 και TLS 1.1 το 2006. Μετά από εκτενείς συζητήσεις και την ανάπτυξη 28 σχεδίων πρωτοκόλλων, η Task Force Μηχανικής Διαδικτύου (IETF) ενέκρινε TLS 1.3την επόμενη σημαντική έκδοση του πρωτοκόλλου TLS, τον Μάρτιο του 2018.

Σε μια συντονισμένη ανακοίνωση τον Οκτώβριο του 2018, η Microsoft, η Google, η Apple και η Mozilla δήλωσαν ότι θα αποσύρουν τα μη ασφαλή πρωτόκολλα TLS 1.0 και TLS 1.1 το πρώτο εξάμηνο του 2020. Η Microsoft άρχισε να ενεργοποιεί το TLS 1.3 από προεπιλογή στις πιο πρόσφατες εκδόσεις Windows 10 Insider ξεκινώντας τον Αύγουστο του 2020.

Τον Ιανουάριο του 2021, η NSA παρείχε επίσης καθοδήγηση για τον εντοπισμό και την αντικατάσταση παρωχημένων εκδόσεων και διαμορφώσεων πρωτοκόλλου TLS με σύγχρονες, ασφαλείς εναλλακτικές λύσεις.

«Οι απαρχαιωμένες διαμορφώσεις παρέχουν στους αντιπάλους πρόσβαση σε ευαίσθητη επιχειρησιακή κυκλοφορία χρησιμοποιώντας μια ποικιλία τεχνικών, όπως η παθητική αποκρυπτογράφηση και η τροποποίηση της κυκλοφορίας μέσω επιθέσεων άνθρωπος στη μέση», ανέφερε η NSA.

“Οι εισβολείς μπορούν να εκμεταλλευτούν παρωχημένες διαμορφώσεις πρωτοκόλλου ασφάλειας επιπέδου μεταφοράς (TLS) για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα με πολύ λίγες απαιτούμενες δεξιότητες.”