¿Riesgos en los puertos abiertos POP3 / IMAP?

0

Encontré un dominio con puertos POP3 (110) e IMAP (143) abiertos. Pude usar TELNET para conectarme a ellos con éxito, pero más allá de esto, ¿hay alguna vulnerabilidad / vulnerabilidad que debería probar en ellos, o incluso esto es un problema de seguridad para que se abran así?

He intentado usar USER y PASS y algunas combinaciones comunes de usuario / contraseña predeterminadas, y no están usando un nombre de usuario / contraseña genérico / predeterminado por lo que puedo decir.

También obtengo la palabra "Fenix" en ambos puertos. ¿Es esta la empresa que aloja sus servidores IMAP / POP3? No pude encontrar ninguna compañía llamada Fenix que aloje estos.

    
pregunta Jack 23.08.2018 - 01:38
fuente

1 respuesta

2

No hay una vulnerabilidad POP3 o IMAP genérica. De hecho, encontrará puertos abiertos para esto en muchos servidores en Internet, ya que estos protocolos se utilizan para recuperar correo electrónico, con suerte en combinación con TLS, es decir, después de actualizar la conexión inicialmente simple a TLS mediante los comandos STLS / STARTTLS.

Sin embargo, también hay errores en los servidores POP3 e IMAP y, probablemente, con IMAP ya que este es un protocolo más complejo en comparación con POP3. Una búsqueda rápida de IMAP o POP3 en cvedetails.com mostrará numerosas vulnerabilidades conocidas del pasado.

  

También obtengo la palabra "Fenix" en ambos puertos. ¿Es esta la empresa que aloja sus servidores IMAP / POP3?

No estoy seguro de a qué se refiere exactamente, pero creo que ha visto esta cadena en la primera línea que tiene cuando se conecta a estos puertos. Tanto IMAP como POP3 (y SMTP y FTP ...) envían después de la conexión un saludo desde el servidor al cliente y este saludo a menudo contiene un nombre de host o tipo de servidor o lo que sea que los administradores quisieran tener allí. Buscando fenix imap en shodan devuelve algo como esto:

* OK [CAPABILITY IMAP4rev1 ... AUTH=PLAIN] Fenix ready.
* CAPABILITY IMAP4rev1 UNSELECT ID CHILDREN NAMESPACE IDLE UIDPLUS AUTH=PLAIN
A001 OK Pre-login capabilities listed, post-login capabilities have more.
* ID ("name" "Dovecot")
A002 OK ID completed.

De acuerdo con el ID, este es un servidor Dovecot , una de las principales implementaciones de servidores IMAP / POP3 que existen (y fuente abierta). ). Tiene una configuración para configurar el saludo, es decir, un simple

login_greeting = Fenix ready

En el dovecot.conf se obtendrá el mismo tipo de respuesta que se ve. Así que alguien decidió que este podría ser un saludo útil y, según la consulta de Shodan, parece que GoDaddy está detrás de al menos muchos de estos sistemas.

    
respondido por el Steffen Ullrich 23.08.2018 - 07:02
fuente

Lea otras preguntas en las etiquetas