Un reciente informe del CERT ha sacado a la luz vulnerabilidades críticas en varios servidores SMTP que permiten a usuarios autenticados y ciertas redes de confianza enviar correos electrónicos con información de remitente falsificada. Estas fallas, identificadas como CVE-2024-7208 y CVE-2024-7209, explotan debilidades en los mecanismos de autenticación y verificación de los correos electrónicos proporcionados por Sender Policy Framework (SPF) y Domain Key Identified Mail (DKIM).
Las vulnerabilidades, detalladas en el informe del CERT, afectan a la autenticación, informe y conformidad de mensajes basada en dominios (DMARC). Este sistema depende de SPF y DKIM para validar la autenticidad del remitente, pero las debilidades descubiertas permiten a los atacantes eludir estas medidas de seguridad y falsificar identidades de remitentes con facilidad.
Descripción Técnica de las Vulnerabilidades
Las vulnerabilidades emergen de la inseguridad inherente del protocolo SMTP, tal como se describe en el RFC 5321 #7.1. Los registros SPF están diseñados para identificar las redes IP autorizadas para enviar correos electrónicos en nombre de un dominio, mientras que DKIM proporciona una firma digital para verificar partes específicas del mensaje retransmitido por SMTP.
Según el informe del CERT, DMARC combina estas capacidades para mejorar la seguridad del correo electrónico. Sin embargo, muchos servicios de correo electrónico que alojan varios dominios no verifican adecuadamente al remitente autenticado con sus identidades de dominio permitidas, permitiendo las siguientes vulnerabilidades:
- CVE-2024-7208: Permite a un remitente autenticado suplantar la identidad de un dominio compartido alojado, evadiendo las políticas de DMARC, SPF y DKIM.
- CVE-2024-7209: Explota los registros SPF compartidos en proveedores de alojamiento multiusuario, permitiendo a los atacantes utilizar la autorización de red para suplantar la identidad de correo electrónico del remitente.
Estas fallas permiten a los atacantes autenticados falsificar identidades en el encabezado del mensaje de correo electrónico, enviando correos como cualquier persona dentro de los dominios alojados.
Impacto y Medidas de Mitigación
El impacto de estas vulnerabilidades es considerable. Un atacante autenticado puede explotar la autenticación de red o SMTP para falsificar la identidad de una instalación de alojamiento compartido, eludiendo las políticas de DMARC y los mecanismos de verificación del remitente. Esto puede conducir a una suplantación generalizada de identidad por correo electrónico, socavando la confianza en las comunicaciones por correo electrónico y causando potencialmente graves daños financieros y de reputación a las organizaciones afectadas.
Para mitigar estos riesgos, los proveedores de alojamiento de dominios que ofrecen servicios de retransmisión de correo electrónico deben implementar medidas de verificación más estrictas. Es crucial que verifiquen la identidad de un remitente autenticado con identidades de dominio autorizadas. Además, los proveedores de servicios de correo electrónico deben utilizar métodos confiables para verificar que la identidad del remitente de la red (MAIL FROM) y el encabezado del mensaje (FROM:) sean consistentes.
Los propietarios de dominios también deben tomar medidas rigurosas para asegurar que sus políticas DMARC basadas en DNS (DKIM y SPF) protejan la identidad del remitente y a sus usuarios y marcas de los abusos causados por la suplantación de identidad. Si se espera que un dominio proporcione una alta seguridad de identidad, el propietario del dominio debe utilizar su propia función DKIM, independientemente del proveedor de alojamiento, para reducir el riesgo de ataques de suplantación de identidad.
La comunidad de ciberseguridad está trabajando activamente para abordar estas vulnerabilidades y proteger la integridad de las comunicaciones por correo electrónico en un entorno cada vez más amenazante.
Referencias:
