Chris startet sitt journalistiske eventyr i 2006 som redaktør for Builder AU etter at han opprinnelig begynte i CBS som programmerer. Etter et kanadisk opphold kom han tilbake i 2011 som redaktør for TechRepublic Australia, og er nå australsk redaktør for ZDNet.
Full Bio 12. januar 2022 | Emne: Sikkerhet
Bilde: Can I Phish/Sebastian Salla
Du har gjort det rette av organisasjonen din og sørget for at DMARC- og SPF-poster (sender policy framework) er satt i et forsøk på å redusere e-postspoofing, men alle at godt arbeid kan angres hvis SPF er for ettergivende i det angitte IP-området.
En slik situasjon ble påpekt av Can I Phish-sjef Sebastian Salla som skannet 1,8 millioner australske domeneposter på jakt etter e-postsikkerhetssnafus.
Feilen Salla var ute etter var innenfor SPF-poster, som håndterer individuelle IP-adresser, men også IP-områder. Hvis en organisasjon hadde gått inn i et bredt IP-område, og hadde e-postinfrastrukturen sin på en skyleverandør, som gjenbruker IP-adresser med mindre en organisasjon betaler ekstra for en dedikert IP-adresse, kan det være rom for å overta en adresse som dekkes av andres SPF ta opp.
Da Salla fant 60 000 IP-er som pekte mot ulike regioner innenfor Amazon Web Services (AWS), var Salla godt på vei, og kunne starte EC2-forekomster på AWS som fikk utdelt en IP-adresse som en annen organisasjon sa at den hadde kontroll over. Dette skjedde 264 ganger.
Blant dem som ble tatt ut var det australske parlamentshuset, University of Sydney, Mirvac, en annen stor eiendomsinvesteringsgruppe og en statlig statlig organisasjon.
“Hver av de berørte 264 organisasjonene og deres nedstrømskunder er betydelig mer utsatt for kompromittering av forretningse-post og phishing-relaterte angrep. Alle med et kredittkort kan registrere seg for en AWS-konto, gå gjennom EC2-instanser til de får en ønsket IP, be AWS om å fjerne eventuelle SMTP-restriksjoner og begynne å sende SPF-autentiserte e-poster som om de var noen av disse organisasjonene,” skrev Salla.
“Når vi vurderer posisjonen som noen av disse organisasjonene er i, kan vi bedre forstå virkningen. Tenk deg en parlamentarisk ansatt som mottar en e-post som ser ut til å komme fra en minister, eller en student som mottar en e-post som utgir seg for å være en fra universitetsopptak og så på … Mottakerne i disse tilfellene har ingen teknisk mekanisme for å bestemme ekte fra falske.”
Salla fortalte ZDNet at 69 av organisasjonene han fant ennå ikke har fikset problemet, til tross for at de har fått et 30-dagers utbedringsvindu og samarbeidet med Australian Cyber Security Center (ACSC) om avsløring. Mens små organisasjoner kan ha brukt brede IP-områder på grunn av dynamisk adressetildeling, sa Salla at store organisasjoner har andre hensyn selv om de har råd til å reservere adresseblokker.
“På grunn av måten AWS-priser fungerer på, hvis du reserverer en IP-adresse og deretter ikke bruker den, blir du straffet og pådrar deg en timekostnad (dette er på grunn av at det er begrensede IP-er og AWS ønsket ikke at kundene skulle reservere IP-er for mye),» sa han.
“Så jeg mistenker at en forretningsenhet som fokuserer på kostnadsoptimalisering i hver organisasjon, sannsynligvis vil frigi ubrukte IP-er som betyr at folk som meg kan komme inn og ta dem – til slutt fører til IP-overtakelsesangrep hvis denne aktiviteten ikke har blitt kommunisert mellom forretningsenheter.
“Den ultimate løsningen er å bare liste opp IP-adresser som brukes aktivt av e-postservere — i tilfelle redundans/katastrofegjenoppretting er nødvendig, er det innebygde funksjoner i AWS som aktiverer dette, for eksempel bruk av lastbalansere eller NAT-gatewayer som bare bruker en enkelt IP.”
Se også: Phishing-angrep er vanskeligere å oppdage på smarttelefonen din. Det er derfor hackere bruker dem mer
Som svar på ZDNet pekte ACSC på den australske regjeringens informasjonssikkerhetsmanual samt rådene om e-postsikkerhet.
“Organisasjoner kan redusere sannsynligheten for at domenene deres blir brukt til å støtte falske e-poster ved å implementere Sender Policy Framework og Domain-based Message Authentication, Reporting and Conformance (DMARC)-poster i deres domenenavnsystemkonfigurasjon,” en Det sa talsperson for ACSC.
“DMARC er en av en rekke kontroller som, når de brukes sammen, er et svært effektivt mottiltak for å forhindre phishing-angrep der angriperen prøver å fullstendig etterligne det avsendende e-postdomenet.
“Det er til syvende og sist opp til hver enkelt byrået for å implementere rådene fra Australian Cyber Security Centre, basert på det byråets vurdering av cybertruslene den står overfor.”
For sin del sa Department of Parliamentary Services at de hadde løst problemet.
p>
“Departement for parlamentariske tjenester løste problemet med en feil SPF-konfigurasjon for leverandøren, og dette hadde ingen innvirkning på nettverket,” het det.
Universitetet i Sydney sa, som det er vanlig, at det tok sikkerhet på alvor, men ville ikke kommentere detaljene rundt cyberstillingen.
“Vi gjennomgår og forbedrer kontinuerlig systemene våre for å håndtere slike trusler, og kan bekrefte at sakene som er tatt opp i bloggen ikke er en aktuell sak,” sa en talsperson.
I begynnelsen av forrige måned fant Salla en rekke nettsteder opprettet av det lokale nettutviklingsselskapet Precedence, som inkluderer et Queensland-råd og et føderalt medlem som kunder, som hadde brukt et /16-adresseområde, som dekker over en million IP-adresser, i SPF-post brukt på tvers av klientbasen.
Rekkevidden var slik at Salla sa at nesten alle EC2-forekomster startet i Sydneys ap-southeast-2-region ville få en adresse som dekkes av rekkevidden.
“Den første EC2-forekomsten jeg snurret opp hadde en autorisert IP-adresse, og jeg var i stand til å sende meg selv en SPF-autentisert e-post fra dette bestemte byrådet som gikk rett inn i innboksen min – bestått alle SPF- og DMARC-sjekker “, skrev Salla.
Relatert dekning
DMARC på vei inn på australske myndighetsdomener ACSC-skanning lar Commonwealth-enheter unngå å bli hacket.ASD etterlater TikTok-forbudsbeslutninger i avdelingens henderACSC tilbyr valgfri DNS-beskyttelse til statlige enheterSjelden lyspunkt på nett: ACSC rapporterer totale hendelser ned 28 % Australia | Sikkerhets-TV | Databehandling | CXO | Datasentre