I ricercatori di sicurezza hanno scoperto una vulnerabilità, CVE-2021-33515, nella tecnologia sottostante implementata dalla maggior parte dei server di posta elettronica che eseguono il protocollo IMAP (Protocollo di accesso ai messaggi Internet). La vulnerabilità esiste da almeno un anno, consentendo agli aggressori di aggirare le protezioni e-mail TLS e curiosare sui messaggi.
Correlata: Quattro zero giorni con patch nel server di posta elettronica di Microsoft Exchange
CVE-2021-33515 In dettaglio
Per fortuna, il bug che è stato segnalato per la prima volta nell'agosto dello scorso anno è stato corretto. Il problema deriva dal software del server di posta elettronica chiamato Dovecot, che viene utilizzato dalla maggior parte dei server IMAP.
Secondo i ricercatori Fabian Ising e Damian Poddebniak dell'Università di Scienze Applicate di Münster, la vulnerabilità CVE-2021-33515 crea la possibilità di un attacco MITM. "Durante la nostra ricerca sulla sicurezza dei server di posta elettronica presso la Münster University of Applied Sciences, abbiamo trovato una vulnerabilità di iniezione di comandi relativa a STARTTLS in Dovecot,” hanno detto i ricercatori in il loro rapporto.
Il difetto potrebbe consentire a MITM attaccante tra un client di posta e Dovecot per iniettare comandi non crittografati nel contesto TLS crittografato, reindirizzare le credenziali dell'utente e la posta all'attaccante. Tuttavia, va notato che un utente malintenzionato deve avere i permessi di invio sul server Dovecot.
Un exploit riuscito potrebbe consentire a un utente malintenzionato MITM di rubare le credenziali e la posta dell'utente SMTP, i ricercatori hanno messo in guardia.
Secondo Il consiglio di Ubuntu:
L'attaccante sul percorso potrebbe iniettare comandi di testo in chiaro prima della negoziazione STARTTLS che verrebbe eseguita dopo che STARTTLS ha terminato con il client. È interessato solo il servizio di invio SMTP.
Per fortuna, la vulnerabilità, quale Tenable valutato come critico è già stato percorso. È disponibile una patch per Dovecot in esecuzione su Ubuntu. Le parti interessate devono eseguire l'aggiornamento alla versione Dovecot v2.3.14.1 e successive. Sono disponibili anche soluzioni alternative, come disabilitare START-TLS e configurare Dovecot per accettare solo connessioni TLS pure sulla porta 993/465/995. Tuttavia, l'attacco deve essere mitigato sul server, i ricercatori hanno sottolineato.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: