通过一个IT管理服务提供商攻陷190个澳大利亚组织机构的邮件供应链

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

一周前我打算做一个实验，一次性扫描几百家澳大利亚组织机构，查看他们SPF记录中列出的任意IP地址是否和AWS和Azure 提供的公开IP范围之间存在重合之处。之后查看是否有IP地址已发布并可复用。结果即是查看我是否可以从已扫描域名中发送SPF（发送者策略框架，是组织机构在DNS上发布的公开记录，通常包含一系列IP地址告知收件组织机构从何处接收合法邮件和授权邮件）验证的邮件并最终将漏洞报给受影响的组织机构。

上述就是我所做的实验，之后开始过滤结果。

第一次检查时我发现一个本地市议会在 SPF 记录中添加了一些 /16地址拦截，这些地址和分配给虚拟机（EC2实例）的AWS IP 范围重叠。

这个市议会拥有一个非常超越权限的 SPF 记录，他们在想什么呢？他们包含了AWS 为澳大利亚 EC2实例保留的每个IP地址，即 1,048,544 个 IP 地址。

这里的问题是什么？如果AWS中的IP地址未被使用或者由客户保留，则另外一名客户可抢先获得该IP地址。由于该市议会包含了每个IP，实际上就是AWS 的 ap-southeast-2 区域（澳大利亚悉尼）的任意EC2实例中均包含可代表该域名发送的IP地址。

于是我展开了测试，第一个EC2 实例含有授权IP地址，我可以从该市议会给自己发送一份 SPF 验证邮件，通过了所有的SPF和DMARC检查。

对于为何有人会这样配置 SPF 记录我百思不得其解，于是决定尝试并调查其中的原因。

分析 SPF 记录：我发现SPF记录中包含的 AWS IP 块源自嵌入式域名查询 pre.net.au。该市议会使用的是 .gov.au 域名结构，而这一个结构似乎源自另外一家澳洲公司。

进行WHOIS 查询：此时，我开始认为IT管理服务提供商 (MSP) 可能设立了市议会的 SPF 记录，通过快速查询pre.net.au 的WHOIS 后验证了这个想法！该域名为一家澳大利亚 IT MSP 和 Web 开发公司 Precedence Group 所有。

访问了 Precedence Group 网站后，发现导航栏中包含一个名为 Portfolio 的链接，当时我认为可能仅有5个或10个关联企业。

但事实并非如此。Precedence Group 记录列出了有业务往来的每个组织机构，且并非仅仅列出了公司名称或标志还列出了客户的域名。

点击了几个网站后我还发现 Precedence Group 在自己所设计的每个网站底部都包含一个文本片段 “web design by precedence”。

于是我决定通过谷歌搜索所有含 “web design by precedence” 的网站，并抓取 Precedence Group Portfolio 页面中的所有客户域名，最终我找到了329个客户域名。

令人震惊的是，我可以抓取329个客户域名（225个源自网站，27个源自谷歌，77个通过其它渠道获取），我决定再来一次扫描，不过这次只关注 Precedence Group 客户。

几分钟后得到了结果。同样的 “pre.net.au” SPF 查询出现在329个客户中的190个中。这190个客户范围广泛，从市议会、金融资讯、航班服务、金融贷款、律所、建筑公司等等不一而足。

这些组织机构及其下游客户面临风险的情况持续了多久？

为此，我运行了历史DNS查询并追踪易受攻击 SPF 记录的初始创建日期。幸运的是，我发现该域名一直在通过在线工具 SecurityTrails 追踪。之后发现这个越权情况严重的 SPF 记录在近3年前就创建了，组织机构可能自此之后就易受攻击。

这190个客户及其下游客户均遭受商业邮件攻陷和钓鱼相关攻击的重大风险。任何人，只要通过信用卡即可注册AWS 账户、获得EC2实例、请求WAS 删除任意SMTP限制并以其中任意组织机构的名义发送 SPF 验证邮件。

控制自己的邮件发件人供应链对于确保组织机构和客户不会陷入和邮件威胁相关的不必要风险至关重要。通过使用免费的域名扫描工具 CanIPhish，可以对邮件发件人和收件人供应链进行最大程度的可视化。

识别易受攻击的组织机构工作尚在早期阶段。在接下来的数周/数月时间内，随着扩大扫描范围并改进扫描方法，我将会找到更多的组织机构。

目前本文中提到的部分漏洞已修复。