Vulnerabilidad en Gmail 2019 - (DoS)

Iniciado por WHK, 10 Enero 2019, 23:34 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

WHK

10 Enero 2019, 23:34 PM Ultima modificación: 10 Enero 2019, 23:36 PM por WHK
Hola, hace unos días encontré un problema en el servicio de gmail el cual podría dar algunos problemas en el normal funcionamiento, lo reporté (con id 122580205) y me dijeron lo siguiente:

CitarEstado: no se solucionará (inviable).
Gracias por informar! Creemos que el problema podría no ser lo suficientemente grave como para que podamos rastrearlo como un error de seguridad.

Asi que, como para ellos no es un problema como para categorizarlo como un problema de seguridad, lo publicaré acá, para que los que se dediquen a la administración de servicios de correos como yo no tengan este tipo de problemas.


¿El problema?

Normalmente, gmail no acepta el envío de correos hacia dominios que puedan ser anormales, por ejemplo "localhost", así también la mayoría de los servicios de Google como lo era Google Plus, al momento de generar las miniaturas de las direcciones URL tenían especial cuidado de no resolver sitios locales como puntos de acceso 192.*, 127.*, etc.

En el caso de Gmail si intentas enviar un correo hacia demo@localhost este es rechazado diciendo que el formato del correo es incorrecto, pero esto puede ser evadido utilizando un dominio preparado para apuntar hacia direcciones locales.

En este punto existen dos problemas, el primero es que al enviar un correo hacia localhost, este comenzará a intentar conectarse múltiples veces durante varios días, provocando una carga innecesaria multiplicando la carga del envío por la cantidad de intentos, el segundo es que cabe la posibilidad de que en situaciones especiales sea posible determinar la existencia de rangos de direcciones ip internas.


¿La prueba?

He creado una prueba de concepto utilizando home1.pocs.oznet.cl el cual apunta a 127.0.0.1. El correo enviado fue demo@home1.pocs.oznet.cl, el cual provocó que me estuvieran llegando notificaciones durante 3 días diciendo que no es posible conectar a 127.0.0.1. Esto probablemente se deba a que el host local de envío de correos no es el mismo internamente el cual hace las recepciones (smtp).

Hice otra prueba de concepto utilizando el campo "cc" para copiar a 20 correos diferentes utilizando el mismo dominio, pero solo me llega 1 correo de notificación por día, desconozco si gmail agrupa los mensajes de error, pero si estoy seguro que internamente ha estado intentando conectarse multiples veces.

El problema principal es la carga de red a nivel de apertura de puertos de salida de tráfico y el uso de recursos de cpu y memoria para procesar dichos correos.



Es dificil poder realizar un ataque de denegación de servicio a los servicios de Gmail, pero para alguien con malas intenciones que quiera generar una interrupción importante, podrá multiplicar enormemente el tráfico de manera interna si llegase a utilizar una botnet para el envío masivo de correos hacia direcciones ip internas. También cabe mencionar que puede servir de distractor para inhundar de logs de ataques internos los appliance de coorelación de logs mientras se realiza un ataque real de fuga de información.


¿La solución?

Claramente la solución es detectar del lado del servidor si el host de la dirección de correos resuelve alguna dirección IP local utilizando los rangos estándares.


Saludos.

Scaryariela

#2
19 Septiembre 2019, 19:26 PM
hola podrias ponerte en contacto? gracias

Trollwer

#3
19 Septiembre 2019, 22:04 PM
Muy interesante y buen aporte :D
▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂ ▃ ▁ ▁ ▅ ▃ ▅ ▅ ▄ ▅ ▇▇ ▅ █ ▅ ▇ ▂
Imprimir
Ir Arriba Páginas1
Acciones del Usuario