英国(爱丁堡)网络安全专家, 7元素, 在全球云计算提供商Rackspace发现了一个安全漏洞. 作为代表客户执行的事件响应活动的一部分, 7元素意识到这个漏洞正在被利用来进行商业电子邮件攻击,以获取资金.
据了解,直到最近, 全球所有Rackspace托管的电子邮件客户都容易受到未经授权的行为者恶意使用其电子邮件域的攻击. 这些客户包括美国联邦机构, 英国地方政府, 军事, 政客们, 金融机构和其他知名人士.
该漏洞于2020年7月被发现,导致7元素团队在2020年8月初与Rackspace进行了负责任的披露过程.
7元素高级安全顾问John Moss表示:
“我们的调查显示,至少有一个恶意行为者正在积极利用这个漏洞来欺骗电子邮件, 如果Rackspace意识到这个漏洞并利用它导致企业声誉或经济损失,那么它显然需要回答一些严肃的问题.”
该漏洞是由于Rackspace的SMTP服务器(emailsrvr.和)授权用户. 当这个漏洞被置于Rackspace关于客户特别授权这些SMTP服务器通过DNS条目(表示使用SPF)代表他们发送电子邮件的指导的上下文中时[1]记录),它可以用来形成一个可行的攻击向量. 收件人会收到这些邮件, 通过电子邮件安全检查并被确认为合法的发件人. 恶意行为者可以利用此功能进行有针对性的网络钓鱼攻击或伪装成选定的目标域, 造成声誉损害.
鉴于能够利用多个帐户并通过旨在拒绝欺骗电子邮件的安全检查, 7元素将其称为“SMTP多通道“攻击.
7元素首席执行官David Stubley补充道:
“云托管电子邮件提供了一种经济有效且灵活的方法来管理您的企业电子邮件需求. 然而, 云计算与安全管理组织数据的更广泛挑战没有什么不同. 有了这些独特的机遇,也就有了独特的风险. 在这种情况下,Rackspace似乎已经决定代表其客户做出风险决定, 而不是告诉他们这个问题,这样组织就可以对脆弱性在整个组织风险偏好中的位置做出明智的决定.”
Background
同时协助客户对针对性邮件泄露事件进行内部调查, 7元素与客户的技术团队一起评估入站邮件. 这种协作方法确定了参与商业电子邮件攻击的恶意行为者使用Rackspace域发送电子邮件. 他们使用不同域下的用户帐户进行身份验证, 成功欺骗Rackspace托管的电子邮件客户, 绕过SPF控制.
通过使用这种方法, 恶意行为者能够绕过客户的电子邮件过滤器,并可以自由地从大量合适的域名中选择使用Rackspaces的私人电子邮件服务. 这促使7元素进一步调查, 最终确定托管电子邮件服务的任何客户都容易受到此问题的影响. 特别是如果他们的SPF记录被设置为从 emailsrvr.和 (as Rackspace推荐).
完整的技术解释可以在以下链接中找到(该链接将于5日09:00直播)th2020年11月:http://www.7元素.co.英国/资源/博客/ smtp-multipass /
披露时间表
- 20th2020年7月-客户收到使用该技术的网络钓鱼电子邮件,以实现商业电子邮件泄露(意图进行财务欺诈)
- ~30th2020年7月- 7元素为客户的内部团队提供协助,并协同识别该技术并能够复制该技术.
- 7th2020年8月——在完成事件响应工作之后, 7元素已向客户确认,该问题将报告给Rackspace. 这个联系人是 security@rackspace.和.
- 7th2020年8月至25日th2020年8月-与Rackspace就验证问题进行了旷日持久的沟通, 解决问题的时间表和披露的道德考虑. Rackspace证实,公司内部已经意识到了这一问题. 同意在Rackspace承诺致力于解决问题后,遵循标准的90天负责任的披露窗口.
- 15th2020年9月- Rackspace向7元素提供更新,告知另一方也发现了该漏洞.
- 5th2020年11月——商定的披露日期.
[1]发件人策略框架(SPF)是一种用于验证电子邮件是否来自真正的发件人的方法. 这是通过使用可以代表域发送邮件的授权发件人电子邮件服务器IP地址来完成的. 这是通过使用与域相关的DNS记录来实现的.