Více než tři miliony poštovních serverů POP3 a IMAP bez šifrování TLS jsou aktuálně vystaveny na internetu a zranitelné vůči útokům odposlechu.
IMAP a POP3 jsou dvě metody přístupu k e-mailům na poštovních serverech. IMAP je doporučován pro kontrolu e-mailů z více zařízení, jako jsou telefony a notebooky, protože uchovává zprávy na serveru a synchronizuje je mezi zařízeními. POP3 na druhou stranu stahuje e-maily ze serveru, což je činí dostupnými pouze na zařízení, kde byly staženy. Je také třeba poznamenat, že mnoho hostingových společností konfiguruje služby POP3 nebo IMAP ve výchozím nastavení, i když je uživatelé nevyužívají.
Šifrovací protokol TLS pomáhá zabezpečit informace uživatelů při výměně a přístupu k jejich e-mailům přes internet prostřednictvím aplikací klient/server. Pokud však není šifrování TLS povoleno, obsah jejich zpráv a přihlašovací údaje jsou odesílány v prostém textu, což je vystavuje útokům odposlechu.
Podle skenů bezpečnostní platformy Shadowserver, která monitoruje hrozby, přibližně 3,3 milionu hostitelů provozuje služby POP3/IMAP bez povoleného šifrování TLS a vystavuje uživatelská jména a hesla v prostém textu při přenosu přes internet.
Shadowserver nyní informuje provozovatele poštovních serverů, že jejich servery POP3/IMAP nemají povolené TLS, čímž vystavují uživatelská jména a hesla uživatelů nešifrovaným útokům odposlechu.
„To znamená, že hesla používaná pro přístup k poště mohou být zachycena odposlechem sítě. Navíc může být vystavení služby zneužito k útokům na hádání hesel proti serveru,“ uvedl Shadowserver. „Pokud od nás obdržíte tuto zprávu, povolte prosím podporu TLS pro IMAP a zvažte, zda je služba vůbec potřeba, nebo ji přesuňte za VPN.“
Původní specifikace TLS 1.0 a její nástupce TLS 1.1 byly používány téměř dvě desetiletí, přičemž TLS 1.0 byl představen v roce 1999 a TLS 1.1 v roce 2006. Po rozsáhlých diskusích a vývoji 28 návrhů protokolu schválila pracovní skupina Internet Engineering Task Force (IETF) v březnu 2018 TLS 1.3, další hlavní verzi protokolu TLS.
V koordinovaném oznámení v říjnu 2018 společnosti Microsoft, Google, Apple a Mozilla uvedly, že zastaví podporu nezabezpečených protokolů TLS 1.0 a TLS 1.1 v první polovině roku 2020. Microsoft začal povolovat TLS 1.3 ve výchozím nastavení v nejnovějších sestaveních Windows 10 Insider od srpna 2020.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
