מדעני מחשב חשפו תצורה שגויה נפוצה באופן מזעזע בשירותי סינון דואר זבל מבוססי ענן ארגוניים פופולריים, יחד עם ניצול לניצול היתרונות שלו. הממצאים חושפים שארגונים פתוחים הרבה יותר לאיומי סייבר הנישאים בדוא"ל ממה שהם יודעים.
במאמר שיוצג בדיון הקרוב כנס ACM Web 2024 בסינגפור במאי, צוות המחקר האקדמי המחבר ציין שניתן לעקוף שירותים בשימוש נרחב של ספקים כמו Proofpoint, Barracuda, Mimecast ואחרים בלפחות 80% מהתחומים העיקריים שהם בחנו.
ניתן לעקוף את שירותי הסינון אם ספק אירוח הדואר האלקטרוני אינו מוגדר לקבל רק הודעות שמגיעות משירות סינון הדוא"ל", מסבירה סומנת ראו, דוקטורנטית לתואר שני באוניברסיטת קליפורניה בסן דייגו והמחברת הראשית של המאמר. זכאי "לא מסונן: מדידת עקיפות סינון דואר אלקטרוני מבוסס ענן".
זה אולי נראה מובן מאליו, אבל הגדרת המסננים כך שיפעלו במקביל למערכת הדוא"ל הארגונית היא מסובכת. מתקפת העקיפה יכולה לקרות בגלל חוסר התאמה בין שרת הסינון לשרת הדואר האלקטרוני, מבחינת התאמת האופן שבו שרתי הדוא"ל של גוגל ומיקרוסופט מגיבים להודעה שמגיעה מכתובת IP לא ידועה, כמו כזו שתשמש שולחי דואר זבל.
השרתים של גוגל דוחים הודעה כזו במהלך הקבלה הראשונית שלה, בעוד שהשרתים של מיקרוסופט דוחים אותה במהלך הפקודה "Data", כלומר כאשר הודעה כבר נמסרה לנמען. זה משפיע על האופן שבו יש להגדיר את המסננים.
ההימור גבוה, בהתחשב בכך הודעות דוא"ל דיוג נשארות מנגנון הגישה הראשוני הרצוי עבור פושעי רשת.
"מנהלי דואר שאינם מגדירים כראוי את הדואר הנכנס שלהם כדי להפחית את החולשה הזו דומים לבעלי ברים שפורסים סדרן לבדיקת תעודות זהות בכניסה הראשית, אך מאפשרים ללקוחות להיכנס גם דרך דלת צד לא נעולה ולא מפוקחת", אומר סת'. Blank, CTO של Valimail, ספק אבטחת דוא"ל.
תיבות דואר נכנס ארגוניות פתוחות לרווחה לפישינג
לאחר בדיקה מסגרת מדיניות השולח תצורות ספציפיות (SPF) עבור 673 דומיינים .edu ו-928 דומיינים .com שעשו שימוש בשרתי דוא"ל של גוגל או מיקרוסופט יחד עם מסנני דואר זבל של צד שלישי, החוקרים גילו כי 88% ממערכות הדוא"ל מבוססות Google עקפו, בעוד ש-78 % ממערכות Microsoft היו.
הסיכון גבוה יותר כאשר משתמשים בספקי ענן, מכיוון שהתקפת עוקף אינה קלה כל כך כאשר גם הסינון וגם משלוח הדוא"ל ממוקמים במקום בכתובות IP מוכרות ומהימנות, הם ציינו.
המאמר מציע שתי סיבות עיקריות לאחוזי הכישלונות הגבוהים הללו: ראשית, התיעוד להגדרה נכונה של שרתי הסינון ושל הדואר האלקטרוני הוא מבלבל ולא שלם, ולעיתים קרובות מתעלמים ממנו או לא מובן היטב או עוקב אחריו בקלות. שנית, מנהלי אימייל ארגוניים רבים שוגים בוודאות שההודעות יגיעו לנמענים, מחשש למחיקת הודעות תקפות אם הם מקיימים פרופיל סינון קפדני מדי. "זה מוביל לתצורות מתירניות ולא בטוחות", לפי העיתון.
לא מוזכר על ידי המחברים, אבל גורם חשוב, היא העובדה שהגדרת כל שלושת פרוטוקולי אבטחת הדוא"ל העיקריים - SPF, דיווח אימות הודעות מבוסס דומיין והתאמה (DMARC), ו-DomainKeys Identified Mail (DKIM) - נחוצים כדי להיות יעילים באמת בעצירת דואר זבל. אבל זה זה לא קל, אפילו למומחים. תוסיפו את זה לאתגר של לוודא ששני שירותי הענן לסינון ומשלוח דוא"ל מתקשרים בצורה תקינה, ומאמץ התיאום הופך למורכב ביותר. כדי לאתחל, מוצרי הסינון ושרת הדוא"ל מנוהלים לרוב על ידי שתי מחלקות נפרדות בתוך תאגידים גדולים יותר, מה שמציג פוטנציאל נוסף לשגיאות.
"אימייל, כמו שירותי אינטרנט עתיקים רבים, תוכנן סביב מקרה שימוש פשוט שכעת אינו עולה בקנה אחד עם הדרישות המודרניות", כתבו המחברים.
איחורים בתיעוד תצורת דואר אלקטרוני, פערי אבטחה מעוררים
התיעוד שמספק כל ספק סינון אכן משתנה באיכותו, על פי החוקרים. העיתון מציין שההוראות על מוצרי הסינון של TrendMicro ו-Proofpoint מועדות במיוחד לשגיאות ויכולות לייצר בקלות תצורות פגיעות. אפילו אותם ספקים שיש להם תיעוד טוב יותר, כמו Mimecast ו-Barracuda, עדיין מייצרים שיעורים גבוהים של הגדרות שגויות.
בעוד שרוב הספקים לא הגיבו לבקשתה של Dark Reading להגיב, אולסיה קלבצ'וק, מנהלת שיווק מוצרים ב-Barracuda, אומרת, "הגדרה נכונה ו'בדיקות בריאות' סדירות של כלי אבטחה חשובים. אנו מספקים מדריך לבדיקת תקינות שלקוחות יכולים להשתמש בו כדי לעזור להם לזהות הגדרות שגויות אלו ואחרות".
היא מוסיפה, "רוב, אם לא כולם, ספקי סינון הדואר האלקטרוני יציעו תמיכה או שירותים מקצועיים במהלך הפריסה ולאחריה כדי להבטיח שהפתרון שלהם עובד כפי שהוא צריך. ארגונים צריכים לנצל מעת לעת ו/או להשקיע בשירותים אלה כדי למנוע סיכוני אבטחה פוטנציאליים."
למנהלי דוא"ל ארגוניים יש מספר דרכים לחזק את המערכות שלהם ולמנוע מתקפות עוקפות אלו. דרך אחת, שהוצעה על ידי מחברי המאמר, היא לציין את כתובת ה-IP של שרת הסינון כמקור הבלעדי של כל תעבורת הדואר האלקטרוני, ולהבטיח שלא ניתן לזייף אותה על ידי תוקף.
"ארגונים צריכים להגדיר את שרת האימייל שלהם כך שיקבל רק דוא"ל משירות הסינון שלהם", כתבו המחברים.
התיעוד של מיקרוסופט מציג אפשרויות להגנה על דואר אלקטרוני וממליצה להגדיר סדרה של פרמטרים כדי לאפשר הגנה זו עבור פריסה מקוונת של החלפה, למשל. אחר הוא להבטיח שכל פרוטוקולי SPF, DKIM ו-DMARC מצוינים כהלכה עבור כל הדומיינים ותת-הדומיינים המשמשים ארגון לתעבורת דואר אלקטרוני. כאמור, זה יכול להיות אתגר, במיוחד עבור חברות או מקומות גדולים יותר שרכשו דומיינים רבים לאורך זמן ושכחו מהשימוש בהם.
לבסוף, פתרון נוסף, אומר Blank של Valimail, "הוא לכלול את אפליקציית הסינון שרשרת מקלט מאומתת (RFC 8617) כותרות דוא"ל, וכדי שהשכבה הפנימית תצרוך ותבטח את הכותרות הללו."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack
- :הוא
- :לֹא
- $ למעלה
- 2024
- 7
- a
- אודות
- אקדמי
- מחקר אקדמי
- לְקַבֵּל
- גישה
- פי
- נרכש
- להוסיף
- כתובת
- כתובות
- מוסיף
- מנהלים
- יתרון
- לאחר
- דומה
- תעשיות
- להתיר
- לאורך
- כְּבָר
- an
- ו
- אחר
- בקשה
- ARE
- סביב
- AS
- At
- לתקוף
- תוקף
- המתקפות
- אימות
- מחבר
- מחבר
- מחברים
- לְהִמָנַע
- בָּר
- ברקודה
- BE
- כי
- הופך להיות
- מוטב
- בֵּין
- שניהם
- אבל
- by
- לעקוף
- קליפורניה
- CAN
- מקרה
- שרשרת
- לאתגר
- לבדוק
- בדיקות
- ענן
- שירותי ענן
- COM
- מגיע
- הערה
- להעביר
- חברות
- מורכב
- תְצוּרָה
- מוגדר
- תצורה
- מבלבל
- לצרוך
- תאום
- משותף
- תאגידים
- צורה נכונה
- יכול
- ראש אגף טכנולוגיה
- לקוחות
- סייבר
- עברייני אינטרנט
- כהה
- קריאה אפלה
- נתונים
- גופי בטחון
- נתן
- מסירה
- דרישות
- מחלקות
- לפרוס
- פריסה
- מעוצב
- DID
- דייגו
- תיעוד
- עושה
- תחומים
- דון
- דֶלֶת
- בְּמַהֲלָך
- כל אחד
- בקלות
- קל
- אפקטיבי
- מאמץ
- או
- אמייל
- אבטחת דוא"ל
- מיילים
- לאפשר
- לְהַבטִיחַ
- זן
- מִפְעָל
- רשאי
- שגיאות
- אֲפִילוּ
- בוחן
- דוגמה
- חליפין
- מסביר
- לנצל
- מאוד
- עובדה
- גורם
- כשלון
- רחוק
- פחד
- לסנן
- סינון
- מסננים
- ממצאים
- ראשון
- בעקבות
- בעד
- שכח
- מצא
- החל מ-
- פערים
- GitHub
- נתן
- בוגר
- מדריך
- לקרות
- מתרחש
- יש
- כותרות
- בְּרִיאוּת
- לעזור
- גָבוֹהַ
- גבוה יותר
- אירוח
- איך
- HTTPS
- מזוהה
- לזהות
- מזהה
- if
- חשוב
- in
- לכלול
- בתחילה
- פְּנִימִי
- לא בטוח
- מכון
- הוראות
- אינטרנט
- החדרה
- להשקיע
- IP
- כתובת IP
- כתובות IP
- J States
- IT
- שֶׁלָה
- לדעת
- ידוע
- גדול יותר
- שכבה
- מניח
- עוֹפֶרֶת
- מוביל
- הכי פחות
- מוֹרֶשֶׁת
- כמו
- ראשי
- גדול
- עשייה
- הצליח
- מנהל
- מנהלים
- רב
- שיווק
- תואם
- מאי..
- מדידת
- מנגנון
- מוּזְכָּר
- הודעה
- הודעות
- מיקרוסופט
- יכול
- להקל
- מודרני
- יותר
- רוב
- צורך
- נחוץ
- ציין
- עַכשָׁיו
- רב
- ברור
- of
- הַצָעָה
- המיוחדות שלנו
- לעתים קרובות
- on
- ONE
- יחידות
- באינטרנט
- רק
- לפתוח
- or
- ארגונים
- מקור
- אחר
- אחרים
- הַחוּצָה
- יותר
- בעלי
- מאמר
- פרמטרים
- במיוחד
- דיוג
- מקומות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- מדיניות
- פופולרי
- פוטנציאל
- מוצג
- נפוץ
- למנוע
- לייצר
- המוצר
- מוצרים
- מקצועי
- פּרוֹפִיל
- תָקִין
- כמו שצריך
- .
- פרוטוקולים
- לספק
- ובלבד
- ספק
- איכות
- תעריפים
- להגיב
- קריאה
- סיבות
- נמענים
- ממליצה
- רגיל
- להשאר
- דווח
- לבקש
- מחקר
- חוקרים
- להגיב
- לגלות
- הסיכון
- סיכונים
- s
- סן
- סן דייגו
- אומר
- מדענים
- שְׁנִיָה
- אבטחה
- סיכוני אבטחה
- נראה
- נפרד
- סדרה
- שרת
- שרתים
- שרות
- שירותים
- סט
- הצבה
- התקנה
- כמה
- צריך
- צד
- פָּשׁוּט
- since
- סינגפור
- פִּתָרוֹן
- דואר זבל
- מפורט
- הימור
- שלב
- עוד
- סְתִימָה
- לחזק
- קפדן
- סטודנט
- כזה
- תמיכה
- בטוח
- מערכת
- מערכות
- לקחת
- נטילת
- זה אחר זה
- נבחרת
- מונחים
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אלה
- הֵם
- צד שלישי
- זֶה
- אלה
- איומים
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- גַם
- כלים
- תְנוּעָה
- באמת
- סומך
- מהימן
- שתיים
- חָשׂוּף
- הבין
- אוניברסיטה
- אוניברסיטת קליפורניה
- לא ידוע
- נעול
- בקרוב ב
- להשתמש
- במקרה להשתמש
- מְשׁוּמָשׁ
- באמצעות
- תקף
- לְהִשְׁתַנוֹת
- מוכר
- ספקים
- פגיע
- היה
- דֶרֶך..
- דרכים
- we
- חולשה
- אינטרנט
- טוֹב
- היו
- מתי
- אשר
- בזמן
- מי
- רָחָב
- יצטרך
- עם
- בתוך
- תיק עבודות
- עובד
- היה
- כתב
- עוד
- זפירנט