Los investigadores de seguridad descubrieron una vulnerabilidad, CVE-2021-33515, en la tecnología subyacente implementada por la mayoría de los servidores de correo electrónico que ejecutan el protocolo IMAP (Protocolo de acceso a mensajes de Internet). La vulnerabilidad ha existido durante al menos un año., permitir a los atacantes eludir las protecciones de correo electrónico TLS y espiar los mensajes.
Relacionado: Cuatro días cero parcheados en el servidor de correo electrónico de Microsoft Exchange
CVE-2021-33515 en detalle
Afortunadamente, el error que se informó por primera vez en agosto del año pasado ahora está parcheado. El problema se debe al software del servidor de correo electrónico llamado Dovecot, que es utilizado por la mayoría de servidores IMAP.
Según los investigadores Fabian Ising y Damian Poddebniak de la Universidad de Ciencias Aplicadas de Münster, la vulnerabilidad CVE-2021-33515 crea la posibilidad de un ataque MITM. “Durante nuestra investigación sobre la seguridad de los servidores de correo electrónico en la Universidad de Ciencias Aplicadas de Münster, encontramos una vulnerabilidad de inyección de comandos relacionada con STARTTLS en Dovecot,”Dijeron los investigadores en su informe.
La falla podría permitir una Atacante MITM entre un cliente de correo y Dovecot para inyectar comandos no cifrados en el contexto TLS cifrado, Redirigir las credenciales de usuario y los correos electrónicos al atacante.. Sin embargo, Cabe señalar que un atacante debe tener permisos de envío en el servidor Dovecot..
Un exploit exitoso podría permitir a un atacante MITM robar credenciales y correos electrónicos de usuario SMTP, los investigadores advirtieron.
De acuerdo a Aviso de Ubuntu:
El atacante en ruta podría inyectar comandos de texto sin formato antes de la negociación STARTTLS que se ejecutaría después de que STARTTLS terminara con el cliente. Solo se ve afectado el servicio de envío SMTP.
Afortunadamente, la vulnerabilidad, que Tenable calificó como crítico ya ha sido revisado. Hay un parche disponible para Dovecot que se ejecuta en Ubuntu. Las partes afectadas deben actualizar a la versión v2.3.14.1 de Dovecot y posterior. También se encuentran disponibles soluciones alternativas, como deshabilitar START-TLS y configurar Dovecot para que solo acepte conexiones TLS puras en el puerto 993/465/995. Sin embargo, el ataque debe mitigarse en el servidor, los investigadores señalaron.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: