Skrivet av Chris Duckett, APAC-redaktör 
Chris började sitt journalistiska äventyr 2006 som redaktör för Builder AU efter att ha börjat med CBS som programmerare. Efter en kanadensisk vistelse återvände han 2011 som redaktör för TechRepublic Australia och är nu australiensisk redaktör för ZDNet.
Fullständig beskrivning den 12 januari 2022 | Ämne: Säkerhet
Bild: Can I Phish/Sebastian Salla
Du har gjort rätt av din organisation och sett till att DMARC- och SPF-poster (avsändarpolicyramverk) sätts i ett försök att minska e-postspoofing, men alla att bra arbete skulle kunna ångras om SPF är för tillåtande inom det angivna IP-intervallet.
En sådan situation påpekades av Can I Phishs vd Sebastian Salla som skannade 1,8 miljoner australiska domänposter på jakt efter e-postsäkerhetssnafus.
Felet Salla letade efter låg inom SPF-poster, som hanterar enskilda IP-adresser, men även IP-intervall. Om en organisation hade gått in i ett brett IP-område, och hade sin e-postinfrastruktur sittande på en molnleverantör, som återanvänder IP-adresser om inte en organisation betalar extra för en dedikerad IP-adress, kan det finnas utrymme att ta över en adress som täcks av någon annans SPF spela in.
Efter att hitta 60 000 IP-adresser som pekade mot olika regioner inom Amazon Web Services (AWS), var Salla på god väg och kunde starta EC2-instanser på AWS som fick en IP-adress som en annan organisation sa att den hade kontroll över. Detta hände 264 gånger.
Bland de som fångades var Australian Parliament House, University of Sydney, Mirvac, en annan stor fastighetsinvesteringsgrupp och en statlig statlig organisation.
“Var och en av de berörda 264 organisationerna och deras nedströmskunder är betydligt mer mottagliga för e-postkompromisser och nätfiskerelaterade attacker. Alla som har ett kreditkort kan registrera sig för ett AWS-konto, cykla igenom EC2-instanser tills de får en önskvärd IP, Be AWS att ta bort eventuella SMTP-restriktioner och börja skicka SPF-autentiserade e-postmeddelanden som om de vore någon av dessa organisationer”, skrev Salla.
“När vi överväger den position som vissa av dessa organisationer befinner sig i, kan vi bättre förstå effekterna. Föreställ dig en parlamentarisk anställd som får ett mejl som verkar komma från en minister, eller en student som får ett mejl som utger sig för att vara någon från universitetsantagning och så på… Mottagarna i dessa fall har ingen teknisk mekanism för att avgöra det verkliga från falskt.”
Salla berättade för ZDNet att 69 av de organisationer han hittade ännu inte har åtgärdat problemet, trots att de fått en 30-dagars åtgärdsperiod och arbetat med Australian Cyber Security Center (ACSC) om avslöjande. Medan små organisationer kan ha använt breda IP-intervall på grund av dynamisk adressallokering, sa Salla att stora organisationer har andra överväganden även om de har råd att reservera adressblock.
“På grund av hur AWS-prissättning fungerar, om du reserverar en IP-adress och sedan inte använder den, blir du straffad och får en timkostnad (detta beror på att det finns begränsade IP-adresser och AWS ville inte att kunderna skulle reservera IP-adresser för mycket),” sa han.
“Så jag misstänker att en affärsenhet som fokuserar på kostnadsoptimering i varje organisation sannolikt kommer att släppa oanvända IP-adresser vilket innebär att människor som jag kan komma in och ta dem – vilket i slutändan leder till IP-övertagandeattacker om denna aktivitet inte har kommunicerats mellan affärsenheter.
“Den ultimata lösningen är att endast lista IP-adresser som används aktivt av e-postservrar — i händelse av att redundans/katastrofåterställning är nödvändig finns det inbyggda funktioner inom AWS som möjliggör detta, till exempel användning av lastbalanserare eller NAT-gateways som bara använder en enda IP.”
Se även: Nätfiskeattacker är svårare att upptäcka på din smartphone. Det är därför hackare använder dem mer
Som svar på ZDNet pekade ACSC på den australiska regeringens informationssäkerhetsmanual samt dess råd om e-postsäkerhet.
“Organisationer kan minska sannolikheten för att deras domäner används för att stödja falska e-postmeddelanden genom att implementera Sender Policy Framework och Domain-based Message Authentication, Reporting and Conformance (DMARC)-poster i deras domännamnssystemkonfiguration,” en ACSC talesman sade.
“DMARC är en av en mängd kontroller som, när de används tillsammans, är en mycket effektiv motåtgärd för att förhindra nätfiskeattacker där angriparen försöker att fullständigt imitera den sändande e-postdomänen.
“Det är i slutändan upp till var och en byrån att implementera råden från Australian Cyber Security Centre, baserat på den myndighetens bedömning av de cyberhot den står inför.”
Å sin sida sa Department of Parliamentary Services att det hade åtgärdat problemet.
p>
“Departementen för parlamentariska tjänster löste problemet med en felaktig SPF-konfiguration för leverantören och detta hade ingen inverkan på nätverket”, stod det.
University of Sydney, som är typiskt, sa att det tog säkerheten på allvar men att de inte skulle kommentera detaljerna i dess cyberställning.
“Vi granskar och förbättrar ständigt våra system för att hantera sådana hot och kan bekräfta att de frågor som tas upp i bloggen inte är aktuella”, sa en talesperson.
I början av förra månaden hittade Salla ett antal webbplatser skapade av det lokala webbutvecklingsföretaget Precedence, som inkluderar ett Queensland Council och federal medlem som kunder, som hade använt ett /16-adressintervall, som täcker över en miljon IP-adresser, i SPF-post som används över dess kundbas.
Räckvidden var sådan att Salla sa att nästan alla EC2-instanser som startade i Sydneys ap-southeast-2-region skulle få en adress som omfattas av intervallet.
“Den första EC2-instansen jag skapade hade en auktoriserad IP-adress och jag kunde skicka mig ett SPF-autentiserat e-postmeddelande från just detta kommunfullmäktige som gick rakt in i min inkorg – klarade alla SPF- och DMARC-kontroller “, skrev Salla.
Relaterad täckning
DMARC tar sig in på australiska regeringsdomäner ACSC-skanning tillåter Commonwealth-enheter att undvika att bli hackade.ASD lämnar TikTok-förbudsbeslut i avdelningars händerACSC erbjuder valfritt DNS-skydd till statliga enheter. Sällsynt ljus cyberpunkt: ACSC rapporterar totala incidenterna minskade med 28 % Australien | Säkerhets-TV | Datahantering | CXO | Datacenter