מתקפת סינון דוא"ל בענן עובדת 80% מהזמן

מדעני מחשב חשפו תצורה שגויה נפוצה באופן מזעזע בשירותי סינון דואר זבל מבוססי ענן ארגוניים פופולריים, יחד עם ניצול לניצול היתרונות שלו. הממצאים חושפים שארגונים פתוחים הרבה יותר לאיומי סייבר הנישאים בדוא"ל ממה שהם יודעים.

במאמר שיוצג בדיון הקרוב כנס ACM Web 2024 בסינגפור במאי, צוות המחקר האקדמי המחבר ציין שניתן לעקוף שירותים בשימוש נרחב של ספקים כמו Proofpoint, Barracuda, Mimecast ואחרים בלפחות 80% מהתחומים העיקריים שהם בחנו.

ניתן לעקוף את שירותי הסינון אם ספק אירוח הדואר האלקטרוני אינו מוגדר לקבל רק הודעות שמגיעות משירות סינון הדוא"ל", מסבירה סומנת ראו, דוקטורנטית לתואר שני באוניברסיטת קליפורניה בסן דייגו והמחברת הראשית של המאמר. זכאי "לא מסונן: מדידת עקיפות סינון דואר אלקטרוני מבוסס ענן".

זה אולי נראה מובן מאליו, אבל הגדרת המסננים כך שיפעלו במקביל למערכת הדוא"ל הארגונית היא מסובכת. מתקפת העקיפה יכולה לקרות בגלל חוסר התאמה בין שרת הסינון לשרת הדואר האלקטרוני, מבחינת התאמת האופן שבו שרתי הדוא"ל של גוגל ומיקרוסופט מגיבים להודעה שמגיעה מכתובת IP לא ידועה, כמו כזו שתשמש שולחי דואר זבל.

השרתים של גוגל דוחים הודעה כזו במהלך הקבלה הראשונית שלה, בעוד שהשרתים של מיקרוסופט דוחים אותה במהלך הפקודה "Data", כלומר כאשר הודעה כבר נמסרה לנמען. זה משפיע על האופן שבו יש להגדיר את המסננים.

ההימור גבוה, בהתחשב בכך הודעות דוא"ל דיוג נשארות מנגנון הגישה הראשוני הרצוי עבור פושעי רשת.

"מנהלי דואר שאינם מגדירים כראוי את הדואר הנכנס שלהם כדי להפחית את החולשה הזו דומים לבעלי ברים שפורסים סדרן לבדיקת תעודות זהות בכניסה הראשית, אך מאפשרים ללקוחות להיכנס גם דרך דלת צד לא נעולה ולא מפוקחת", אומר סת'. Blank, CTO של Valimail, ספק אבטחת דוא"ל.

תיבות דואר נכנס ארגוניות פתוחות לרווחה לפישינג

לאחר בדיקה מסגרת מדיניות השולח תצורות ספציפיות (SPF) עבור 673 דומיינים .edu ו-928 דומיינים .com שעשו שימוש בשרתי דוא"ל של גוגל או מיקרוסופט יחד עם מסנני דואר זבל של צד שלישי, החוקרים גילו כי 88% ממערכות הדוא"ל מבוססות Google עקפו, בעוד ש-78 % ממערכות Microsoft היו.

הסיכון גבוה יותר כאשר משתמשים בספקי ענן, מכיוון שהתקפת עוקף אינה קלה כל כך כאשר גם הסינון וגם משלוח הדוא"ל ממוקמים במקום בכתובות IP מוכרות ומהימנות, הם ציינו.

המאמר מציע שתי סיבות עיקריות לאחוזי הכישלונות הגבוהים הללו: ראשית, התיעוד להגדרה נכונה של שרתי הסינון ושל הדואר האלקטרוני הוא מבלבל ולא שלם, ולעיתים קרובות מתעלמים ממנו או לא מובן היטב או עוקב אחריו בקלות. שנית, מנהלי אימייל ארגוניים רבים שוגים בוודאות שההודעות יגיעו לנמענים, מחשש למחיקת הודעות תקפות אם הם מקיימים פרופיל סינון קפדני מדי. "זה מוביל לתצורות מתירניות ולא בטוחות", לפי העיתון.

לא מוזכר על ידי המחברים, אבל גורם חשוב, היא העובדה שהגדרת כל שלושת פרוטוקולי אבטחת הדוא"ל העיקריים - SPF, דיווח אימות הודעות מבוסס דומיין והתאמה (DMARC), ו-DomainKeys Identified Mail (DKIM) - נחוצים כדי להיות יעילים באמת בעצירת דואר זבל. אבל זה זה לא קל, אפילו למומחים. תוסיפו את זה לאתגר של לוודא ששני שירותי הענן לסינון ומשלוח דוא"ל מתקשרים בצורה תקינה, ומאמץ התיאום הופך למורכב ביותר. כדי לאתחל, מוצרי הסינון ושרת הדוא"ל מנוהלים לרוב על ידי שתי מחלקות נפרדות בתוך תאגידים גדולים יותר, מה שמציג פוטנציאל נוסף לשגיאות.

"אימייל, כמו שירותי אינטרנט עתיקים רבים, תוכנן סביב מקרה שימוש פשוט שכעת אינו עולה בקנה אחד עם הדרישות המודרניות", כתבו המחברים.

איחורים בתיעוד תצורת דואר אלקטרוני, פערי אבטחה מעוררים

התיעוד שמספק כל ספק סינון אכן משתנה באיכותו, על פי החוקרים. העיתון מציין שההוראות על מוצרי הסינון של TrendMicro ו-Proofpoint מועדות במיוחד לשגיאות ויכולות לייצר בקלות תצורות פגיעות. אפילו אותם ספקים שיש להם תיעוד טוב יותר, כמו Mimecast ו-Barracuda, עדיין מייצרים שיעורים גבוהים של הגדרות שגויות. 

בעוד שרוב הספקים לא הגיבו לבקשתה של Dark Reading להגיב, אולסיה קלבצ'וק, מנהלת שיווק מוצרים ב-Barracuda, אומרת, "הגדרה נכונה ו'בדיקות בריאות' סדירות של כלי אבטחה חשובים. אנו מספקים מדריך לבדיקת תקינות שלקוחות יכולים להשתמש בו כדי לעזור להם לזהות הגדרות שגויות אלו ואחרות".

היא מוסיפה, "רוב, אם לא כולם, ספקי סינון הדואר האלקטרוני יציעו תמיכה או שירותים מקצועיים במהלך הפריסה ולאחריה כדי להבטיח שהפתרון שלהם עובד כפי שהוא צריך. ארגונים צריכים לנצל מעת לעת ו/או להשקיע בשירותים אלה כדי למנוע סיכוני אבטחה פוטנציאליים."

למנהלי דוא"ל ארגוניים יש מספר דרכים לחזק את המערכות שלהם ולמנוע מתקפות עוקפות אלו. דרך אחת, שהוצעה על ידי מחברי המאמר, היא לציין את כתובת ה-IP של שרת הסינון כמקור הבלעדי של כל תעבורת הדואר האלקטרוני, ולהבטיח שלא ניתן לזייף אותה על ידי תוקף. 

"ארגונים צריכים להגדיר את שרת האימייל שלהם כך שיקבל רק דוא"ל משירות הסינון שלהם", כתבו המחברים.

התיעוד של מיקרוסופט מציג אפשרויות להגנה על דואר אלקטרוני וממליצה להגדיר סדרה של פרמטרים כדי לאפשר הגנה זו עבור פריסה מקוונת של החלפה, למשל. אחר הוא להבטיח שכל פרוטוקולי SPF, DKIM ו-DMARC מצוינים כהלכה עבור כל הדומיינים ותת-הדומיינים המשמשים ארגון לתעבורת דואר אלקטרוני. כאמור, זה יכול להיות אתגר, במיוחד עבור חברות או מקומות גדולים יותר שרכשו דומיינים רבים לאורך זמן ושכחו מהשימוש בהם.

לבסוף, פתרון נוסף, אומר Blank של Valimail, "הוא לכלול את אפליקציית הסינון שרשרת מקלט מאומתת (RFC 8617) כותרות דוא"ל, וכדי שהשכבה הפנימית תצרוך ותבטח את הכותרות הללו."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cloud-security/cloud-email-filtering-bypass-attack