חשד: מיליוני שרתי דוא"ל חשופים להתקפות "ריחרוח רשת"

The Shadowserver Foundation – ארגון ללא מטרות רווח בתחום אבטחת האינטרנט, הפועל, לדבריו, מאחורי הקלעים כדי להפוך את הרשת לבטוחה יותר עבור כולם – דיווח באחרונה כי התגלה לו שכ-3.3 מיליון שרתי דוא"ל המשתמשים בפרוטוקולי POP3 ו-IMAP פועלים ללא הצפנת TLS. גילוי זה, כך נטען במקור, מעיד על כך ששמות המשתמש והסיסמאות של המשתמשים חשופים לסיכון משמעותי. לפי הטענות, שרתים אלו – הממוקמים בעיקר בארה"ב, גרמניה ופולין – מאפשרים לכל מי שיש לו כלי ניטור בסיסיים לרשת, ליירט את התקשורת שלהם ולגנוב את פרטי הכניסה של משתמשיהם, במה שנקרא התקפת "רחרוח רשת" (Sniffing).

פרוטוקול POP3 הוא פרוטוקול מיושן שמשמש לקבלת מיילים משרת דואר. פרוטוקול IMAP הוא חדש יותר, ומאפשר גישה להודעות דוא"ל ממכשירים מרובים. שני הפרוטוקולים, אם אינם מוגנים על ידי הצפנת TLS, חושפים את פרטי המשתמשים להתקפות. כש-TLS אינו מופעל, תוכן ההודעות והסיסמאות נשלחים בטקסט פשוט, מה שהופך אותם לפגיעים ליירוט ולגניבה. לדברי The Shadowserver Foundation: "משמעות הדבר היא שסיסמאות המשמשות לגישה לדוא"ל יכולות להיות מיוּרטות על ידי 'מרחרח רשת' (Network Sniffer). בנוסף, חשיפת השירות באופן זה עלולה לאפשר התקפות ניחוש סיסמאות נגד השרת". הארגון הזהיר כי מומלץ למפעילי שרתי הדוא"ל הללו להכניס לפעולה הצפנת TLS, ולשקול להעביר את השירותים שלהם גם אל מאחורי הגנת VPN.

UPDATE: After feedback from various National CSIRTs & mail server operators (thank you!), we have identified a number of potential false positives in data being shared. We have suspended the vulnerable POP3/IMAP reports & are working on improvements before restarting reporting https://t.co/yXzs0t1QSP

— The Shadowserver Foundation (@Shadowserver) January 3, 2025

האם הדיווח טעה?

The Shadowserver Foundation עדכן בתחילה כי החל ליידע מפעילי שרתים לגבי הסיכון שהתגלה, וציין כי כ-900 אלף מהשרתים הלא מוגנים נמצאים בארה"ב; בגרמניה, שנמצאת במקום השני, פועלים 523 אלף שרתים; ושפולין ויפן הן הבאות בתור, עם כ-400 אלף ו-300 אלף שרתים לא מוגנים, בהתאמה.

אלא שלאחר הדיווח, בעקבות משוב מ-CSIRT (מרכז בקרה והתראה לאומי) וּממפעילי שרתי דואר, The Shadowserver Foundation עדכן כי זיהה מספר "תוצאות חיוביות שגויות" אפשריות בדיווחים ששותפו איתו. כתוצאה מכך, הארגון השעה את ההתרעת על שרתי ה-POP3/IMAP הפגיעים, ועדכן כי הוא עובד על שיפורים בדיוק מקורותיו בטרם יגיש שוב דו"ח על הנושא.

בכל אופן, היעדר TLS היא מקור לסיכונים רבים. ולא רק – גם TLS לא עדכני אינו מספיק בטיחותי. פרוטוקולי TLS 1.0 ו-1.1 כבר אינם נחשבים בטוחים. גרסאות אלו, שהיו בשימוש במשך שנים רבות, הוחלפו ב-TLS 1.3 בשנת 2018. גוגל, מיקרוסופט, אפל ומוזילה הודיעו בעבר על הפסקת השימוש בפרוטוקלים אלו בשנת 2020, והמליצו על מעבר ל-TLS 1.3.

הסוכנות לביטחון לאומי של ארה"ב, ה-NSA, גם היא הזהירה כי תצורות TLS מיושנות מאפשרות לתוקפים לגשת לתעבורה רגישה באמצעות מגוון טכניקות, כולל פענוח פסיבי ושינוי תעבורה באמצעות התקפות "אדם באמצע" ( Man-in-the-middle). לכן, קריטי שמפעילי שרתים יעדכנו את תצורת האבטחה שלהם, על מנת להבטיח את בטיחות פרטי המשתמשים.