Beveiligingsonderzoekers ontdekten een kwetsbaarheid, CVE-2021-33515, in de onderliggende technologie die wordt gebruikt door de meeste e-mailservers met het IMAP-protocol (Protocol voor toegang tot internetberichten). De kwetsbaarheid bestaat al minstens een jaar, waardoor aanvallers TLS-e-mailbeveiligingen kunnen omzeilen en op berichten kunnen snuffelen.
Verwant: Vier nul-dagen gepatcht in Microsoft Exchange e-mailserver
CVE-2021-33515 In detail
Gelukkig, de bug die voor het eerst in augustus vorig jaar werd gemeld, is nu gepatcht. Het probleem komt voort uit de e-mailserversoftware genaamd Dovecot, die door de meeste IMAP-servers wordt gebruikt.
Volgens onderzoekers Fabian Ising en Damian Poddebniak van de Hogeschool Münster, de kwetsbaarheid CVE-2021-33515 creëert de mogelijkheid van een MITM-aanval. “Tijdens ons onderzoek naar de beveiliging van e-mailservers bij Hogeschool Münster, we hebben een kwetsbaarheid voor opdrachtinjectie gevonden met betrekking tot STARTTLS in Dovecot,” zeiden de onderzoekers in hun verslag.
De fout kan een MITM-aanvaller tussen een e-mailclient en Dovecot om niet-versleutelde opdrachten in de versleutelde TLS-context te injecteren, gebruikersreferenties en e-mails omleiden naar de aanvaller. Echter, het moet worden opgemerkt dat een aanvaller verzendrechten op de Dovecot-server moet hebben.
Een succesvolle exploit kan een MITM-aanvaller in staat stellen om SMTP-gebruikersreferenties en e-mails te stelen, de onderzoekers waarschuwden.
Volgens Ubuntu's advies:
Een aanvaller op het pad kan commando's in platte tekst injecteren vóór STARTTLS-onderhandeling die zou worden uitgevoerd nadat STARTTLS klaar was met de client. Alleen de SMTP-indieningsservice wordt beïnvloed.
Gelukkig, de kwetsbaarheid, die door Tenable als kritiek is beoordeeld, is al betreden. Er is een patch beschikbaar voor Dovecot op Ubuntu. Betrokken partijen moeten updaten naar Dovecot-versie v2.3.14.1 en hoger. Tijdelijke oplossingen zijn ook beschikbaar, zoals het uitschakelen van START-TLS en het configureren van Dovecot om alleen pure TLS-verbindingen op poort te accepteren 993/465/995. Echter, de aanval moet worden beperkt op de server, de onderzoekers wezen erop.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: