Email Bug Mengizinkan Pengintaian Pesan, Pencurian Kredensial

Email Bug Mengizinkan Pengintaian Pesan, Pencurian Kredensial

 

Para peneliti memperingatkan bahwa peretas dapat mengintai komunikasi email dengan menyerang kelemahan pada teknologi dasar yang digunakan oleh sebagian besar server email yang menjalankan Internet Message Access Protocol atau dikenal sebagai IMAP.
Cacat ini awalnya dilaporkan pada Agustus 2020 dan diperbaiki pada 21 Juni 2021. Menurut Open Email Survey, itu terkait dengan perangkat lunak server email Dovecot, yang digunakan oleh hampir tiga perempat server IMAP.
Menurut sebuah makalah oleh peneliti Fabian Ising dan Damian Poddebniak dari Münster University of Applied Sciences di Jerman, kerentanan memungkinkan serangan campur tangan (MITM).
Sesuai dengan penelitian yang ditautkan ke halaman hadiah bug, tertanggal Agustus 2020, “kerentanan memungkinkan penyerang MITM antara klien email dan Dovecot untuk menyuntikkan perintah yang tidak terenkripsi ke dalam konteks TLS terenkripsi, mengarahkan kredensial pengguna dan mengirim email ke penyerang.”
Dovecot versi v2.3.14.1, patch untuk kerentanan dinilai – tingkat keparahan oleh vendor dan kritis oleh perusahaan keamanan pihak ketiga Tenable, tersedia untuk diunduh. Menurut analisis teknis yang disediakan oleh Anubisnetworks, kelemahannya berkisar pada eksekusi instruksi email START-TLS, yang merupakan perintah yang dikeluarkan antara program email dan server yang digunakan untuk melindungi pengiriman pesan email.
“Kami menemukan bahwa Dovecot dipengaruhi oleh masalah injeksi perintah di START-TLS. Bug ini memungkinkan [an attacker] untuk melewati fitur keamanan SMTP seperti pemblokiran login teks biasa. Selain itu, memungkinkan [an attacker] untuk memasang serangan fiksasi sesi, yang mungkin mengakibatkan pencurian kredensial seperti nama pengguna dan kata sandi SMTP, ”kata para peneliti.
Menurut deskripsi OWASP, serangan fiksasi sesi memungkinkan musuh mengambil alih koneksi klien-server setelah pengguna masuk. Sesuai peneliti, karena masalah implementasi START-TLS di Dovecot, penyusup dapat masuk ke sesi dan mentransfer seluruh lalu lintas TSL dari server SMTP korban yang ditargetkan sebagai bagian dari sesinya sendiri.
“Penyerang memperoleh kredensial penuh dari kotak masuknya sendiri. Tidak ada titik TLS rusak atau sertifikat dikompromikan, ”tulis para peneliti.
Untuk Dovecot yang beroperasi di Ubuntu, versi Linux berdasarkan Debian, perbaikan untuk masalah ini, dijuluki CVE-2021-33515, sekarang tersedia. Ising dan Poddebniak telah memberikan perbaikan solusi untuk kerentanan tersebut. Menonaktifkan START-TLS dan mengonfigurasi Dovecot untuk hanya menerima “koneksi TLS murni” pada port 993/465/995 adalah salah satu solusinya.
Para peneliti menyatakan, “Perhatikan bahwa tidak cukup untuk mengkonfigurasi ulang klien email untuk tidak menggunakan START-TLS. Serangan harus dimitigasi di server, karena koneksi TLS apa pun sama-sama terpengaruh. ”

Pos terkait