پیکربندی نادرست ایمیل سرور‌ها، یک باگ امنیتی در کمین شرکت‌های ایرانی

به گزارش پیوست، حملات امنیتی به سامانه‌های اینترنتی و موبایلی در سال‌های اخیر افزایش یافته و عمده این حملات از طریق دسترسی به ایمیل‌سرور‌های سازمان‌ها صورت گرفته است. در گزارشی که شرکت‌های امنیتی بزرگ دنیا از جمله شرکت Checkpoint برای سال ۲۰۲۰ منتشر کرده‌اند، کانال ایمیل رتبه اول در سواستفاده توسط هکرها را به خود اختصاص داده است.

مجموعه باگدشت، فعال در زمینه باگ‌بانتی یا شناسایی باگ‌های امنیتی نیز به تازگی یک مشکل امنیتی در ایمیل‌سرور‌های شرکت‌های ایرانی به نام پیکربندی نادرست ایمیل سرور‌ها یا «Mail Server Misconfiguration» پیدا کرده و در مورد این مساله به سازمان‌ها شرکت‌های ایرانی هشدار جدی داده است.

رویا دهبسته، مدیرعامل باگدشت در این خصوص می‌گوید: «دسترسی به ایمیل سازمان به هر روشی، یکی از راحت‌ترین راه‌ها برای رسیدن به مقاصد خاص هکرهاست چرا که هم به اعضا و مدیران سازمان و هم به تمام گستره مشتریان آن شرکت یا سازمان دسترسی پیدا می‌کنند. در جریان رخ دادن یک حمله امنیتی که به زنجیره حمله سایبری یا Cyber Kill Chain معروف است، سطح دسترسی به ایمیل از موارد دارای اهمیت بالا است.»

او در خصوص اهمیتی که کشور‌های دیگر به این موضوع  داده‌اند توضیح می‌دهد: «کشور‌های دیگر همگی این موضوع را درک کرده‌ و در گزارشات خود عنوان کرده‌اند که سازمان‌ها حتما باید پیکربندی امن سرورهای ایمیل را انجام دهند؛ اما در ایران متاسفانه اهمیت این گونه مشکلات بسیار پایین انگاشته می‌شود. در مقابل تاثیری که این مشکلات امنیتی ایجاد می‌کند بسیار زیاد است و کوچک‌ترین آن‌ها نشر یا سواستفاده از اطلاعات محرمانه مشتری یا شرکت‌هاست.»

پیکربندی نادرست ایمیل‌ سرورها

مدیرعامل باگدشت در خصوص مشکل امنیتی کشف شده در سطح کشور می‌گوید: «یکی از مشکلاتی که چند ماه پیش به ما اعلام شد، یک Misconfiguration یا پیکیربندی نادرست در بخش ایمیل سرورها بود. این مشکل توسط یکی از کارشناسان امنیت ما، مهندس حیدری گزارش شد. این شخص در شرح گزارش خود توضیح داده بود که یک سری از میل‌سرور‌ها در سطح کشور به‌صورت نادرست پیکربندی شده‌اند و این اجازه را به مهاجم یا هکر می‌دهد که به سرور دسترسی پیدا کند و از طریق هر آدرسی که مربوط به آن سازمان است، ایمیل ارسال کند.»

به گفته دهبسته، بعد از این که این باگ گزارش شد، واحد امنیت باگدشت، گستره مشتریانش را روی این باگ بررسی کردند و مشخص شد حدود ۳۵ مشتری اعم از شرکت‌های دولتی و استارت‌آپی درگیر این باگ امنیتی بودند.

او چگونگی نحوه برخورد با این اشکال امنیتی را اینگونه توضیح می‌دهد: «پس از اطلاع‌رسانی به این ۳۵ شرکت اقدام به رفع این اشکال کردیم و حدود یک ماه و نیم به‌طول انجامید. از آنجایی که ریسک امنیتی این باگ بسیار بالا است و از طرفی یلدا، نوروز و همیطور انتخابات ریاست‌جمهوری را در پیش داریم و نرخ ارسال و دریافت ایمیل در این ایام بسیار بالا می‌رود، یک مقاله‌ای مرتبط با این موضوع در وبلاگ باگدشت منتشر کردیم و سعی کردیم به‌صورت کلی این مشکل را توضیح دهیم. هدف از این کار هم اطلاع‌رسانی بیشتر به سازمان‌هایی که جزو مشتریان ما نیستند بود.»

پیکربندی نادرست با جعل ایمیل فرق دارد

به گفته مدیرعامل باگدشت، نکته بسیار مهم این است که نباید باگ مربوط به پیکربندی نادرست ایمیل سرور را با جعل ایمیل اشتباه گرفت. او در خصوص تفکیک این دو مورد از یکدیگر می‌گوید: «در Email Spoofing، هکرها یک آدرس ایمیل مشابه با ایمیل اصلی یک سایت، شرکت یا سازمان می‌سازند که کاربر به اشتباه بیافتد و متوجه نشود که این آدرس ایمیل، آدرس اصلی آن سایت یا شرکت نیست. اما در مساله Misconfiguration، هکرها به ایمیل‌های اصلی شرکت‌ها و سازمان‌ها دست پیدا می‌کنند و به وسیله ایمیل واقعی و اصلی آن شرکت اقدام به ارسال ایمیل‌ می‌کنند که به هیچ‌عنوان امکان تشخیص این ایراد از سمت کاربران وجود نخواهد داشت.»

دهبسته معتقد است سازمان‌ها می‌توانند با پیاده‌سازی Policyهایی که در ایمیل سرور وجود دارد، بنابر شرایط کسب‌وکاری که دارند، نسبت به این پیکردبندی نادرست ایمیل سرور اقدام مناسب داشته باشد و امنیت خود را تامین کند.

مدیرعامل باگدشت در پاسخ به این سوال که سازمان‌ها و کاربران، چه اقداماتی انجام دهند تا این مشکلات به حداقل برسند می‌گوید: «آموزش یکی از مهم‌ترین و کلیدی‌ترین عنصر‌های مقابله با حملات امنیتی است.» او در ادامه می‌گوید: «سازمان‌ها باید بخش‌های اطلاع‌رسانی و آگاهی‌سازی‌های امنیتی را در دستور کار خود قرار دهند. این موضوع هم در ایران بین شرکت‌ها و سازمان‌ها از اهمیت بالایی برخوردار نیست و با وجود اینکه هر روزه روش‌هایی جدیدتری برای حمله به وجود می‌آید اما این آگاهی‌ساز‌ها و اطلاع‌رسانی‌ها به‌روز نمی‌شوند. در سمت کاربران هم باید این حساسیت وجود داشته باشد تا روی هر ایمیل، لینک و محتوایی کلیک نکنند.»

به گفته دهبسته، به‌صورت کلی در بحث امنیت، اگر سازمان‌ها از مشاوران امنیتی استفاده نکنند، از تنظیمات و پیکربندی‌های پیش‌فرض برای سامانه‌های مورد استفاده سازمان استفاده کنند، به‌صورت مداوم امنیت این سامانه‌ها و ابزار را مورد بررسی قرار ندهند و به‌روزرسانی آخرین وصله‌های امنیتی را دریافت نکنند، شدیدا در معرض خطر حمله قرار می‌گیرند.

پیکربندی‌ پیش‌فرض سرمنشا اکثر رخدادهای امنیتی

او همچنین توضیح می‌دهد که استفاده از پیکربندی پیش‌فرض یا ناامن، سرمنشا تعداد زیادی از رخدادهای امنیتی است. ایمیل‌سرور به‌عنوان یکی از در دسترس‌ترین و راحت‌ترین تکنولوژی‌هایی است که این آسیب‌پذیری‌ها روی آن گزارش می‌شود و بیشتر از سایر موارد مورد هدف حملات هکرها قرار می‌گیرد.

مدیرعامل باگدشت در پاسخ به این سوال که از بین نرم‌افزار‌های سازمانی یا نرم‌افزار‌های عمومی کدام آسیب‌پذیرترند توضیح می‌دهد: «معمولا نرم‌افزار‌هایی که توسط یک شرکتی برای استفاده افراد محدودی تولید یا شخصی‌سازی می‌شوند، اگر مورد تست امنیتی قرار نگیرد، بسیار آسیب‌پذیر‌تر از نرم‌افزار‌هایی هستند که پرکاربرد بوده و نرخ بیشتری از گزارشات را از سمت کاربران دریافت می‌کنند. این مساله باعث می‌شود که شرکت سازنده ورژن‌های جدیدتری به همراه مشکلات رفع‌شده منتشر کند و امنیت نرم‌افزار خود را حفظ کند. اما نرم‌افزاری که به‌صورت خاص برای یکی دو سازمان طراحی شده اگر تیم امنیتی مناسبی نداشته باشد، از آنجایی که کاربر زیادی از آن استفاده نمی‌کند، مسلما باگ بیشتری خواهد داشت.»