.webp "Çoklu SMTP Sunucuları Sahtecilik Saldırılarına Karşı Savunmasız, Bilgisayar Korsanlarının Kimlik Doğrulamayı Atlatmasına İzin Veriyor")
Son zamanlarda yapılan bir keşif, birden fazla barındırılan giden SMTP sunucusunda bulunan güvenlik açıklarını ortaya çıkardı. Bu açıklar, kimliği doğrulanmış kullanıcıların ve belirli güvenilir ağların sahte gönderici bilgileri içeren e-postalar göndermesine olanak tanıyor.
CVE-2024-7208 ve CVE-2024-7209 numaralı bu güvenlik açıkları, Gönderen Politika Çerçevesi (SPF) ve Alan Anahtarı Tanımlı Posta (DKIM) tarafından sağlanan kimlik doğrulama ve doğrulama mekanizmalarındaki zayıflıkları istismar ediyor.
SPF ve DKIM’i temel alan Alan Adı Tabanlı Mesaj Kimlik Doğrulama, Raporlama ve Uygunluk (DMARC) engellenerek saldırganların güvenlik önlemlerini aşması ve gönderici kimliklerini taklit etmesi sağlanıyor.
Güvenlik Açıklarının Teknik Açıklaması
Güvenlik açıkları, RFC 5321 #7.1’de belirtildiği gibi SMTP protokolünün içsel güvensizliğinden kaynaklanmaktadır. SPF kayıtları, bir etki alanı adına e-posta göndermeye yetkili IP ağlarını tanımlamak için tasarlanmıştır. Aynı zamanda, DKIM, SMTP ile iletilen mesajın belirli bölümlerini doğrulamak için dijital bir imza sağlar.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
CERT raporuna göre, DMARC bu yetenekleri e-posta güvenliğini artırmak için bir araya getiriyor. Ancak araştırmacılar, birden fazla etki alanı barındıran birçok barındırılan e-posta hizmetinin, kimliği doğrulanmış göndericiyi izin verilen etki alanı kimliklerine göre yeterince doğrulamadığını keşfettiler.
Bu gözetim, kimliği doğrulanmış saldırganların e-posta İleti Başlığında kimlikleri taklit ederek, barındırılan etki alanlarındaki herhangi biriymiş gibi e-posta göndermelerine olanak tanır.
Etkisi ve Potansiyel Kötüye Kullanım
Bu güvenlik açıklarının etkisi önemlidir. Kimliği doğrulanmış bir saldırgan, DMARC politikalarını ve gönderici doğrulama mekanizmalarını atlatarak, paylaşılan bir barındırma tesisinin kimliğini taklit etmek için ağ veya SMTP kimlik doğrulamasını kullanabilir.
Bu durum, yaygın e-posta taklitçiliğine yol açarak e-posta iletişimlerine olan güveni zedeleyebilir ve etkilenen kuruluşlarda ciddi itibar ve mali zararlara neden olabilir.
| Güvenlik Açığı | Tanım |
| CVE-2024-7208 | Kimliği doğrulanmış bir gönderenin, DMARC, SPF ve DKIM politikalarını atlayarak paylaşılan, barındırılan bir etki alanının kimliğini taklit etmesine olanak tanır. |
| CVE-2024-7209 | Çok kiracılı barındırma sağlayıcılarındaki paylaşılan SPF kayıtlarını istismar ederek, saldırganların gönderenin e-posta kimliğini taklit etmek için ağ yetkilendirmesini kullanmalarına olanak tanır. |
E-posta röle hizmetleri sunan alan adı barındırma sağlayıcıları daha sıkı doğrulama önlemleri uygulamalıdır. Kimliği doğrulanmış bir göndericinin kimliğinin yetkili alan adı kimlikleriyle doğrulandığından emin olmalıdırlar.
E-posta servis sağlayıcıları ayrıca ağ gönderici kimliğinin (MAIL FROM) ve İleti Başlığının (FROM:) tutarlı olduğunu doğrulamak için güvenilir yöntemler kullanmalıdır.
Milterfrom gibi posta filtresi yazılımlarının uygulanması bu gerekliliklerin uygulanmasına yardımcı olabilir. Alan adı sahipleri, alan adlarını sahtecilik saldırılarından korumak için katı önlemler almalıdır.
Bu, gönderici kimliğini ve markasını korumak için DNS tabanlı DMARC politikalarının (DKIM ve SPF) kullanılmasını içerir.
Yüksek güvenlikli kimlik koruması için alan adı sahipleri, sahtecilik saldırıları riskini azaltmak amacıyla barındırma sağlayıcısından bağımsız olarak kendi DKIM tesislerini kullanmayı düşünmelidir.
E-posta kritik bir iletişim aracı olmaya devam ettiğinden, bu güvenlik açıklarını gidermek e-posta iletişimlerinin bütünlüğünü ve güvenliğini korumak için önemlidir. Kuruluşlar önerilen çözümleri uygulamak ve alan adlarını olası kötüye kullanımlardan korumak için hızla hareket etmelidir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access