Skrevet af Chris Duckett, APAC-redaktør 
Chris startede sit journalistiske eventyr i 2006 som redaktør for Builder AU, efter han oprindeligt kom til CBS som programmør. Efter et ophold i Canada vendte han tilbage i 2011 som redaktør for TechRepublic Australia og er nu den australske redaktør af ZDNet.
Fuld bio den 12. januar 2022 | Emne: Sikkerhed
Billede: Can I Phish/Sebastian Salla
Du har gjort det rigtige af din organisation og sørget for, at DMARC og SPF (sender policy framework) optegnelser er sat i et forsøg på at reducere e-mail-spoofing, men alle at godt arbejde kunne fortrydes, hvis SPF'en er for eftergivende i det angivne IP-område.
En sådan situation blev påpeget af Can I Phish CEO Sebastian Salla, som scannede 1,8 millioner australske domæneposter på jagt efter e-mailsikkerhedssnafus.
Den fejl, Salla ledte efter, var inden for SPF-records, som håndterer individuelle IP-adresser, men også IP-områder. Hvis en organisation var gået ind i et bredt IP-område, og havde deres e-mail-infrastruktur siddende på en cloud-udbyder, som genbruger IP-adresser, medmindre en organisation betaler ekstra for en dedikeret IP-adresse, kunne der være mulighed for at overtage en adresse, der er dækket af en andens SPF optage.
Da Salla fandt 60.000 IP'er, der pegede mod forskellige regioner inden for Amazon Web Services (AWS), var Salla godt på vej og var i stand til at starte EC2-instanser på AWS, der fik udleveret en IP-adresse, som en anden organisation sagde, at den havde kontrol over. Dette skete 264 gange.
Blandt dem, der blev fanget, var Australian Parliament House, University of Sydney, Mirvac, en anden stor ejendomsinvesteringsgruppe og en statslig regeringsorganisation.
“Hver af de berørte 264 organisationer og deres downstream-kunder er betydeligt mere modtagelige over for kompromittering af e-mail og phishing-relaterede angreb. Enhver med et kreditkort kan tilmelde sig en AWS-konto, cykle gennem EC2-instanser, indtil de får en ønskelig IP, anmod AWS om at fjerne eventuelle SMTP-restriktioner og begynde at sende SPF-godkendte e-mails, som om de var nogen af disse organisationer,” skrev Salla.
“Når vi overvejer den position, som nogle af disse organisationer befinder sig i, kan vi bedre forstå virkningen. Forestil dig en parlamentarisk medarbejder, der modtager en e-mail, der ser ud til at komme fra en minister, eller en studerende, der modtager en e-mail, der udgiver sig for at være en fra universitetsoptagelser og så på… Modtagerne i disse sager har ingen teknisk mekanisme til at bestemme det ægte fra falske.”
Salla fortalte ZDNet, at 69 af de organisationer, han fandt, endnu ikke har løst problemet, på trods af at de har fået et 30-dages udbedringsvindue og samarbejder med Australian Cyber Security Center (ACSC) om afsløring. Mens små organisationer måske har brugt brede IP-områder på grund af dynamisk adresseallokering, sagde Salla, at store organisationer har andre overvejelser, selvom de har råd til at reservere adresseblokke.
“På grund af den måde, AWS-priserne fungerer på, bliver du straffet og pådrager dig en timepris, hvis du reserverer en IP-adresse og derefter ikke bruger den (dette skyldes, at der er begrænsede IP-adresser). og AWS ønskede ikke, at kunderne skulle reservere IP'er for meget),” sagde han.
“Så jeg formoder, at en forretningsenhed, der fokuserer på omkostningsoptimering i hver organisation, sandsynligvis vil frigive ubrugte IP'er, hvilket betyder, at folk som mig selv kan komme ind og tage dem – i sidste ende fører til IP-overtagelsesangreb, hvis denne aktivitet ikke er blevet kommunikeret mellem forretningsenheder.
“Den ultimative løsning er kun at liste IP-adresser, der bruges aktivt af mailservere – i tilfælde af at redundans/katastrofegendannelse er nødvendig, er der indbyggede funktioner i AWS der aktiverer dette, såsom brug af belastningsbalancere eller NAT-gateways, der kun bruger en enkelt IP.”
Se også: Phishing-angreb er sværere at få øje på på din smartphone. Det er derfor, hackere bruger dem mere
Som svar på ZDNet pegede ACSC på den australske regerings informationssikkerhedsmanual samt dens råd om e-mailsikkerhed.
“Organisationer kan reducere sandsynligheden for, at deres domæner bliver brugt til at understøtte falske e-mails ved at implementere Sender Policy Framework og Domain-based Message Authentication, Reporting and Conformance (DMARC) records i deres Domain Name System-konfiguration,” en Det siger en talsmand for ACSC.
“DMARC er en af en række kontrolelementer, der, når de bruges sammen, er en yderst effektiv modforanstaltning til at forhindre phishing-angreb, hvor angriberen forsøger fuldt ud at efterligne det afsendende e-mail-domæne.
“Det er i sidste ende op til hver enkelt agenturet til at implementere rådgivningen fra Australian Cyber Security Centre, baseret på det pågældende agenturs vurdering af de cybertrusler, det står over for.”
For sin del sagde Department of Parliamentary Services, at det havde løst problemet.
p>
“Afdelingen for parlamentariske tjenester løste problemet med en forkert SPF-konfiguration for leverandøren, og dette havde ingen indflydelse på netværket,” stod der.
Universitetet i Sydney sagde, som det er typisk, at det tog sikkerhed seriøst, men ville ikke kommentere detaljerne om dets cyberstilling.
“Vi gennemgår og forbedrer løbende vores systemer til at håndtere sådanne trusler og kan bekræfte, at de forhold, der rejses på bloggen, ikke er et aktuelt problem,” sagde en talsmand.
I begyndelsen af sidste måned fandt Salla en række websteder oprettet af det lokale webudviklingsfirma Precedence, som omfatter et Queensland-råd og et føderalt medlem som kunder, der havde brugt et /16-adresseinterval, der dækkede over en million IP-adresser, i SPF-record brugt på tværs af sin kundebase.
Rækkevidden var sådan, at Salla sagde, at næsten enhver EC2-forekomst, der blev startet i Sydneys ap-southeast-2-region, ville få en adresse dækket af intervallet.
“Den første EC2-instans, jeg oprettede, havde en autoriseret IP-adresse, og jeg var i stand til at sende mig selv en SPF-godkendt e-mail fra dette særlige byråd, som gik direkte ind i min indbakke – og bestod alle SPF- og DMARC-tjek “, skrev Salla.
Relateret dækning
DMARC på vej ind på australske regeringsdomæner ACSC-scanning gør det muligt for Commonwealth-enheder at undgå at blive hacket.ASD efterlader TikTok-forbudsbeslutninger i afdelingernes hænderACSC tilbyder valgfri DNS-beskyttelse til regeringsenheder Sjældent lysende cyberspot: ACSC rapporterer samlede hændelser faldt 28 % Australien | Sikkerheds-tv | Datastyring | CXO | Datacentre