En noviembre de 2024, se descubrió una campaña de malspam que aprovechaba una configuración incorrecta en los registros DNS SPF (Sender Policy Framework) de aproximadamente 20,000 dominios. Estos registros estaban configurados con la opción "+all", lo que permitía que cualquier servidor enviara correos electrónicos en nombre de esos dominios, facilitando así el spoofing y el envío no autorizado de correos electrónicos.
La campaña involucraba correos electrónicos que suplantaban a empresas como DHL Express, adjuntando archivos ZIP que contenían malware. Al analizar las cabeceras de estos correos, se identificó una red de aproximadamente 13,000 dispositivos MikroTik comprometidos, utilizados como proxies abiertos (SOCKS4) para enviar los correos maliciosos.
Explicación técnica
La vulnerabilidad principal radica en la configuración incorrecta de los registros SPF en los DNS. El uso de la opción "+all" en lugar de "-all" en estos registros permite que cualquier servidor envíe correos electrónicos en nombre del dominio, anulando la protección que ofrece SPF contra el spoofing. Los atacantes aprovecharon esta debilidad para distribuir malware a través de correos electrónicos falsificados.
Conclusión
Este incidente destaca la importancia de configurar correctamente los registros DNS SPF para prevenir el abuso en el envío de correos electrónicos. Además, resalta la necesidad de mantener actualizados y seguros los dispositivos de red, como los routers MikroTik, para evitar que sean comprometidos y utilizados en actividades maliciosas.
Métodos de mitigación
Para prevenir este tipo de vulnerabilidades, se recomiendan las siguientes acciones:
Configurar correctamente los registros SPF: Utilizar la opción "-all" en lugar de "+all" en los registros SPF para limitar el envío de correos electrónicos únicamente a los servidores autorizados.
Actualizar el firmware de los dispositivos de red: Asegurarse de que los routers y otros dispositivos de red tengan instaladas las versiones más recientes del firmware para protegerse contra vulnerabilidades conocidas.
Cambiar las credenciales predeterminadas: Modificar las contraseñas de administrador por defecto en los dispositivos de red para dificultar el acceso no autorizado.
Restringir el acceso remoto: Deshabilitar el acceso remoto a los paneles de control de los dispositivos de red si no es necesario, reduciendo así la superficie de ataque.
Implementar estas medidas fortalecerá la seguridad de la infraestructura de red y ayudará a prevenir incidentes similares en el futuro.
Fuente: https://blogs.infoblox.com/threat-intelligence/one-mikro-typo-how-a-simple-dns-misconfiguration-enables-malware-delivery-by-a-russian-botnet/
