MKD-CIRT National Centre for Computer Incident Response
Од страна на компанијата Securolytics е откриен пропуст „Split Tunnel SMTP Exploit” во начинот на кој функционираат EEA уредите.
EEA (Email encryption appliances) се хардверски или виртуелизирани уреди кои соработуваат со серверите за е-пошта во криптирањето и декриптирањето на пораките. EEA уредите обично се поставуваат во компаниските мрежи и се користат за заштита на осетливите информации при размена преку е-пошта, дури и во ситуации кога само еден од кореспондентите се наоѓа во безбедна мрежа.
Пронајдениот пропуст му овозможува на напаѓачот да вметне злонамерни пораки во самиот EEA уред. Овие пораки влегуваат во интерната инфраструктура за е-пошта и се испорачуваат во корисничките сандачиња.
Овој пропуст, наречен „Split Tunnel SMTP Exploit” функционира само доколку напаѓачот ја знае IP адресата на EEA уредот, за знае каде да го вметне злонамерниот програмски код и пораките за е-пошта.
Според истражувачите од Securolytics, секој EEА уред кој прифаќа влезни SMTP конекции е ранлив на ваков напад, независно дали се работи за самостоен хардверски уред или виртуелизиран уред.
Напаѓачот може да вметне секаква злонамерна содржина која поддржува MIME кодирање. Тимот од Securolytics во текот на тестирањето успеал да вметне е-пораки кои содржеле злонамерна содржина како рансомвер, макро-малвер, линкови за фишинг и архиви заштитени со лозинка. Нападот кој користи „Split Tunnel SMTP Exploit” ја искористува мрежната топологија, односно патеките на е-пораките низ серверите и уредите на пат до корисничкото сандаче.
Securolytics нашле две методи за искористување на овој метод на напад, а ги тестирале во живо на два сервери за е-пошта во две здравствени клиники во САД. Првиот начин е со заобиколување на ESG (Email Security Gateway), додека вториот е со замена на IP адресите.
Истражувачите од Securolytics нагласуваат дека не им е познат начин со којшто компаниите би се заштитиле од ваков напад. Засега единствената препорака е потполно исклучување на транспарентно gateway-to-gateway криптирање на ЕЕА уредот, а понатаму имплементација на решение кое паралелно ќе изведува декрипција на е-пошта и откривање на закани.
Извор:bleepingcomputer.com