offensichtliches Sicherheits-Leck (Bug) in Plesk 11.x / Plesk 12.x / cPanel – WHM gefunden!

offensichtlichen Plesk-SMTP-Bug gefundenBeim Senden von Mails kann jeder Kunde die Mail-Adressen eines anderen Kunden verwenden, deren Mail-Accounts auf dem gleichen Server liegen! Es können aber nicht die Mails von anderen Kunden ausgelesen werden! Ferner werden diese Vorgänge in Log-Protokollen protokolliert und können nach vollzogen werden und wäre eine „Computer-Sabotage“ und wäre dann auch strafbar! Wir haben diesen Bug bereits an Odin, die Hersteller von Plesk sowie an cPanel gemeldet und beschreiben hier für jeden Administrator eines Shared-Hosting-Server nachvollziehbar, wie daß möglich ist!

Grundsätzlich können Mail-Absender-Adressen immer gefälscht werden:

Das TCP – Protokoll bietet keine optimale Sicherheit, daß Mail-Adressen nicht gefälscht werden können, dennoch wurde in den letzten Jahren viel um das TCP-Protokoll herum entwickelt, um den Mail-Verkehr einigermaßen sicher zu machen, aber eine 100% Sicherheit gibt es grundsätzlich nicht!

Der Mail-Eingangs-Server prüft, ob die Mail vom Absender mit der ausgewiesenen Mail-Absender-Adresse stimmen kann!

Dies erfolgt über MX-Records in den DNS-Zonen, die auf die Mail-Server zeigen, von denen Mails in der Regel versendet wurden. Unterstützt wird dies durch sogenannte SPF-Records, die auch noch einschränken, ob Mails auch von anderen Mail-Servern gesendet werden dürfen oder nicht. Auch prüft der Empfangs-Mail-Server, ob die Identifikation des Absender-Mail-Servers mit denen der MX-Records übereinstimmt und ob der Reverse – Record ebenfalls zum zugeordneten Mail-Server passt! In einem weiteren Schritt prüfen moderne Mail-Eingangs-Server weitere Merkmale, wie Absender – ID usw!

Vor der Versendung von Mails, müssen sich die Absender auf dem Mail-Server, über die, die Mails versendet werden, authentifizieren:

In der alten Technik und vor noch wenigen Jahren, wurden überhaupt keine Authentifizierungen durchgeführt (ca. 2002), aber als dann auch der Anteil von Spam stetig anstieg, wurde zuerst die Authentifizierung via POP vor SMTP eingeführt und später die Authentifizierung via SMTP! In der neuesten Technik, werden sogar noch die Mail-Versendungen von Mail-Clients an den SMTP-Server (Postfix) über andere Ports (sogenannte Port 587 Mail-Submission) versendet, als sonst für Server-zu-Server-Mail-Verkehr über Port 25! Aber dennoch ist der Versand auch weiterhin über den Port 25 (Mail-Client zu SMTP-Server) möglich!

Plesk und auch cPanel führt offensichtlich eine falsche Konfiguration des SMTP-Daemons (Postfix) durch und ermöglicht damit, daß Kunden Mails von allen anderen Mail-Adressen verwenden können, die ihnen ggf. gar nicht gehören:

Vor dem Aufsetzen eines neuen Servers, verlangen die Plesk – Anweisungen, daß ein Postfix-Daemon vorher NICHT eingerichtet ist! Plesk/cPanel installieren diesen selbst vollständig  und konfigurieren ihn auch jeweils! Odin (Plesk) behauptet, sichere Server zu erzeugen, bei Verwendung ihrer Software, ähnlich wie dies auch cPanel (eine andere Hosting-Software) macht! Im Prinzip sollte ein Administrator nicht mehr an den Konfigurationen, also den Konfigurations-Dateien „schrauben“ müssen und alles sollte sicher und sauber funktionieren! Aber beide Hosting-Plattformen erzeugen die gleichen SIcherheitslücken, weil nicht sauber konfiguriert! Es gibt jedoch eine Menge von Lösungen im Internet um einen Mail-Daemon wie Postfix ordentlich zu konfigurieren und daß Fälschen der Absender-Mail-Adresse zu verhindern! In unseren alten Confixx-Servern wurde dies von uns manuell so abgesichert! Bei Plesk und cPanel verlassen sich aber die Administratoren, daß dies von der Software, sauber abgesichert wird!
 
Ein Versender eine Mail muß sich authentifizieren, aber danach prüft Postfix nicht, ob auch die Mail, die versendet wird, von der Mail-Adresse stammt, für die sich der Mail-Client authentifiziert hat! Folglich kann ein Mail-Client seine Mail-Adresse zum Öffnen der Verbindung zum Port 25 (SMTP) ohne Verschlüsselung und mit normalem Passwort (Plain-Text) öffnen. Danach interessiert es den Postfix nicht, welche Mail-Absender-Adresse verwendet wird! Es kann also eine Mail-Adresse eines anderen Kunden verwendet werden und dann kann die Mail problemlos versendet werden. Und es ist aber theoretisch möglich, daß Postfix so konfiguriert wird, daß ein Kunde nur die Mail-Adressen verwenden kann, die dem Mail-Account auch tatsächlich zugeordnet sind!

Der Empfänger-Mail-Server prüft anhand der Absender-Mail-Adresse, ob die Domain, die in der Mail-Adresse enthalten ist, dem richtigen Mail-Server zugeordnet ist und da ja Mail-Adressen von anderen Kunden ebenfalls den gleichen Mail-Server verwenden, ist dies ja der Fall und die Mail wird vom Empfänger-Mail-Server tatsächlich angenommen und weiter verarbeitet! Nur unter gewissen Umständen verweigert der Empfänger-Mail-Server die Annahme der Mail, z.B. weil die Mail-Absender-ID nicht stimmt!

Das Sicherheitsrisiko ist gering, daß andere Kunden die Mail-Adressen von anderen Kunden fälschen:

Die Mail-Versendung wird im Absender-Mailserver protokolliert und ein Mißbrauch von fremden Mail-Adressen, wäre feststellbar und wir können davon ausgehen, daß wir nur ordentliche Kunden auf den Servern haben, die nicht versuchen, den Bug auszunutzen, dennoch ist dies ein grobes Sicherheitsrisiko, denn viele Administratoren sind sich diesem Bug nicht bewußt und es könnte mit einer Mail mit gefälschter Absender-Adresse, auch grober Unfug angestellt werden, z.B. eine Telefonleitung eines anderen Kunden abbestellt werden oder sogar noch schlimmerer Schaden angerichtet werden! Es ist uns unverständlich, warum Plesk und auch cPanel solche Möglichkeiten nicht genauer prüft und wir hoffen nun auf unverzügliche Abstellung via Updates für beide Software-Produkte! Plesk und cPanel sind die weltweit am meisten eingesetzten Hosting-Software-Lösungen für shared-Hosting!

Auch diese Artikel könnten Sie interessieren:

Sparkassen blocken SEPA (Ausland alles Verbrecher?)

VORSICHT vor Mails mit Domain-Renewal / Domain-Notice /RE: Registration of

Super-Sommer-Rabatt-Aktion auf Root-Server

Neues Debian 8 – Server-Template mit voreingerichteter Firewall und Fail2Ban

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.