0
0
Abuso do servidor IronPort tem a possibilidade de levá-lo a um estado ne negação de serviço ou enchê-lo de spam
O portal Catho, especializado em seleção e recrutamento de profissionais, corrigiu uma falha na configuração de seu sistema de administração de e-mails IronPort, feito pela empresa do mesmo nome. Na prática, essa falha permitia que o sistema, destinado justamente a filtrar mensagens, pudesse aceitá-las sem criticar qualquer que fosse a origem, permitindo a inundação do servidor de e-mails com lixo, spam e malwares, até mesmo alcançando um estado de negação de serviço.
A falha foi descoberta e informada à Catho em relatório enviado em junho do ano passado, pelo especialista Carlos Rodrigues, do grupo de pesquisadores europeus e brasileiros LibertyNET. O IronPort é um sistema de e-mails e de segurança web, usado por empresas de médio e grande porte para a proteção do tráfego de mensagens, mitigação de ameaças, comunicação e controle de políticas em geral, integrado à tecnologia de inteligência de resposta a incidentes. Em 4 de janeiro de 2007, a Cisco anunciou que estava comprando a IronPort, em um negócio avaliado em US $830 milhões. Hoje, o produto é da Cisco TALOS.
A descoberta da falha foi feita em uma investigação de rotina sobre o Ironport, cuja configuração incorreta ainda coloca em risco servidores de e-mail em empresas no mundo inteiro. Embora o sistema seja bastante robusto, com apenas dois exploits registrados, isso não quer dizer que configurações incorretas não deixem o sistema inseguro, explica Rodrigues. Segundo ele, uma busca utilizando o Shodan apontou a existência de mais de 150 servidores IronPort abertos na internet.
“No Shodan podemos ver 155 máquinas, das quais pelos menos 22 exibem um tipo de falha/vulnerabilidade que pode ser facilmente explorada. Contudo, o caso da Catho era mais grave. Uma das primeiras coisas que salta logo à vista é que quando se tentava uma entrada não autorizada no sistema de e-mails, o sistema não apresentava a mensagem de erro ‘554 Your access to this mail system has been rejected due to the sending MTA’s poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means”.
Esse fato, segundo Rodrigues, indicava que qualquer pessoa podia “se ligar facilmente àquele relay de e-mails e tentar enviar um e-mail proveniente de qualquer origem para a empresa, ou fazer uma negação de serviço, enchendo completamente o servidor de e-mails com lixo, spam ou malwares”. No relatório enviado à Catho, o pesquisador demonstrou de que forma o IronPort podia ser utilizado para o envio de e-mails contornando sua proteção.
Isso é feito, explicou ele, por meio de comandos que “só deveriam ser permitidos internamente, em rede privada, e nunca a partir da rede pública”. O caso é especialmente grave, pois o site Catho tem uma elevada reputação a nível de relay de e-mail, mas que pode ser facilmente comprometida por uma falha desse tipo”. Agora, no entanto, a vulnerabilidade já foi corrigida pela empresa.
“Com esta falha”, explica, “um spammer/hacker pode enviar vários emails para empresas (usando várias combinações de endereços de email/aliases para o domínio da empresa) usando os comandos VRFY, RCPT e EXPN do SMTP para autenticar o endereço de email ou obter uma resposta de retorno, de forma a enumerar todos os e-mails de determinado domínio, caracterizando assim um ataque do tipo directory harvest”.
Após novo contato do CISO Advisor, a Catho enviou a seguinte nota de esclarecimento: “A Catho esclarece que foi contatada pela CISO Advisor em 22 de junho de 2020 a respeito de uma vulnerabilidade no sistema de envio de e-mail da empresa, que não expunha nenhuma informação sensível das bases de dados da Catho, mas poderia ser utilizada para disparar e-mails utilizando o domínio da empresa. O problema foi imediatamente corrigido pela Catho, resolvendo definitivamente a vulnerabilidade em questão. Ressaltamos que a segurança dos dados dos clientes é prioridade para nós. O assunto é tratado com muita seriedade e, portanto, há uma busca contínua pela adoção das melhores práticas de mercado no que se refere à segurança da informação”.
FONTE: CISO ADVISOR