CISA recientemente amplió su catálogo de vulnerabilidades explotadas (KEV) conocidas para incluir importantes defectos de seguridad que afecten el servidor de correo electrónico MDAMEMON, rastreado como CVE-2024-11182.
Esta vulnerabilidad se clasifica en CWE-79 (neutralización inapropiada de la entrada durante la generación de páginas web, comúnmente conocido como secuencia de comandos de sitios cruzados o XSS), lo que permite a los atacantes remotos ejecutar el código de JavaScript arbitrario en el contexto del navegador del usuario a través de un correo electrónico HTML especialmente escrito.
Agregar esta vulnerabilidad al catálogo de KEV resalta su riesgo de explotación agresivo y la necesidad urgente de que las organizaciones apliquen la mitigación o el uso de su uso si los parches no están disponibles.
Como las agencias y empresas federales confían en los catálogos de KEV para priorizar las vulnerabilidades, la inclusión de CVE-2024-11182 destaca el panorama de amenazas en evolución que enfrenta la infraestructura de correo electrónico actual.
Comprensión de CVE-2024-11182 y XSS en Mdaemon
CVE-2024-11182 es una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) identificada en las versiones del servidor de correo electrónico de MDAEMON antes del 24.5.1c.
Esta falla proviene de la desinfección insuficiente del contenido HTML en los mensajes de correo electrónico procesados por la interfaz Webmail del servidor. Específicamente, un atacante puede incrustar JavaScript malicioso en la etiqueta IMG en el correo electrónico HTML.
Cuando un usuario accede a un correo electrónico malicioso a través de un cliente de correo web, el script insertado se ejecuta dentro del navegador y hereda los privilegios y la sesión del usuario de la víctima.
Este tipo de vulnerabilidad se encuentra en CWE-79, una clase bien conocida de problemas de seguridad donde las entradas proporcionadas por el usuario no se neutralizan correctamente antes de que se incluyan en la salida de una página web.
El mecanismo técnico de este ataque utiliza el manejo del navegador de HTML y JavaScript para aprovechar la relación de confianza entre las aplicaciones de correo web y la sesión del navegador del usuario.
Al inyectar JavaScript, un atacante puede realizar acciones como robar cookies de sesión, redirigir al sitio malicioso de un usuario o realizar acciones en su nombre sin su consentimiento.
La inclusión de CVE-2024-11182 en el catálogo CISA KEV es una respuesta directa a la evidencia de explotación activa en la naturaleza.
El catálogo de KEV mantenido por CISA sirve como un depósito autorizado de vulnerabilidades explotadas contra organizaciones públicas y privadas.
Su propósito es guiar a las agencias federales y, además, a la comunidad de seguridad cibernética más amplia para priorizar la mejora de las vulnerabilidades de alto riesgo.
Factores de riesgo Detalles Atecticed CropsMdaemon Mail Server <24.5.1C ImpactArbitraryArryary Habilite la ejecución de JavaScript a través de la interfaz Webmail de JavaScript, el secuestro de sesión, el robo de derechos o la acción no autorizada de ActionSexPloit Prerecisites1. El atacante envía el correo electrónico HTML creado 2.
alivio
En respuesta a la divulgación de CVE-2024-11182, Mdaemon Technologies ha lanzado una actualización que aborda las vulnerabilidades de XSS de la versión 24.5.1c y posterior.
Las organizaciones que ejecutan las versiones afectadas se recomiendan altamente recomendadas para aplicar inmediatamente parches proporcionados por los proveedores para mitigar el riesgo de explotación.
Si los parches no son factibles, CISA recomienda después de la guía de mitigación, como deshabilitar los servicios vulnerables o descontinuar el uso del producto hasta que las soluciones estén disponibles.
Además, los equipos de seguridad recomiendan que revisen y mejoren los mecanismos de filtrado de correo electrónico y desinfectación, realicen escaneos de vulnerabilidad regulares y educen a los usuarios sobre los riesgos de interactuar con correos electrónicos sospechosos.
En un entorno de parche retrasado, puede proporcionar una capa temporal de defensa mediante la implementación de un firewall de aplicación web (WAF) o enviando un correo electrónico a una puerta de seguridad que puede filtrar HTML malicioso y contenido de JavaScript.
Equipar equipos de SOC con un análisis de amenazas profundas para respuestas más rápidas -> Obtenga una licencia de sandbox adicional de forma gratuita
