No hay una vulnerabilidad POP3 o IMAP genérica. De hecho, encontrará puertos abiertos para esto en muchos servidores en Internet, ya que estos protocolos se utilizan para recuperar correo electrónico, con suerte en combinación con TLS, es decir, después de actualizar la conexión inicialmente simple a TLS mediante los comandos STLS / STARTTLS.
Sin embargo, también hay errores en los servidores POP3 e IMAP y, probablemente, con IMAP ya que este es un protocolo más complejo en comparación con POP3. Una búsqueda rápida de IMAP o POP3 en cvedetails.com mostrará numerosas vulnerabilidades conocidas del pasado.
También obtengo la palabra "Fenix" en ambos puertos. ¿Es esta la empresa que aloja sus servidores IMAP / POP3?
No estoy seguro de a qué se refiere exactamente, pero creo que ha visto esta cadena en la primera línea que tiene cuando se conecta a estos puertos. Tanto IMAP como POP3 (y SMTP y FTP ...) envían después de la conexión un saludo desde el servidor al cliente y este saludo a menudo contiene un nombre de host o tipo de servidor o lo que sea que los administradores quisieran tener allí. Buscando fenix imap en shodan devuelve algo como esto:
* OK [CAPABILITY IMAP4rev1 ... AUTH=PLAIN] Fenix ready.
* CAPABILITY IMAP4rev1 UNSELECT ID CHILDREN NAMESPACE IDLE UIDPLUS AUTH=PLAIN
A001 OK Pre-login capabilities listed, post-login capabilities have more.
* ID ("name" "Dovecot")
A002 OK ID completed.
De acuerdo con el ID, este es un servidor Dovecot , una de las principales implementaciones de servidores IMAP / POP3 que existen (y fuente abierta). ). Tiene una configuración para configurar el saludo, es decir, un simple
login_greeting = Fenix ready
En el dovecot.conf se obtendrá el mismo tipo de respuesta que se ve. Así que alguien decidió que este podría ser un saludo útil y, según la consulta de Shodan, parece que GoDaddy está detrás de al menos muchos de estos sistemas.