I rischi nelle porte POP3 / IMAP aperte?

0

Ho trovato un dominio con porte POP3 (110) e IMAP (143) aperte. Sono stato in grado di utilizzare TELNET per collegarmi con successo, ma al di là di questo c'è qualche vulnerabilità / exploit comune che dovrei testare su di loro, o è anche un problema di sicurezza averli aperti in questo modo?

Ho provato a utilizzare USER e PASS e alcune comuni combinazioni utente / password predefinite e non utilizzano un nome utente / password generico / predefinito da quello che posso dire.

Ho anche la parola "Fenix" su entrambe le porte. È questa la società che ospita i propri server IMAP / POP3? Non sono riuscito a trovare nessuna società denominata Fenix che li ospitasse.

    
posta Jack 23.08.2018 - 01:38
fonte

1 risposta

2

Non esiste una vulnerabilità POP3 o IMAP generica. In effetti, troverete molte porte aperte per questo su molti server in internet poiché questi protocolli vengono utilizzati per recuperare la posta elettronica - si spera in combinazione con TLS, vale a dire dopo aver aggiornato la connessione inizialmente semplice a TLS usando i comandi STLS / STARTTLS.

Ci sono anche bug nei server POP3 e IMAP e probabilmente più probabilmente con IMAP poiché questo è un protocollo molto più complesso rispetto a POP3. Una rapida ricerca di IMAP o POP3 su cvedetails.com mostrerà numerose vulnerabilità conosciute del passato.

Also I get the word "Fenix" on both of those ports. Is this the company hosting their IMAP/POP3 servers?

Non sono sicuro di cosa ti riferisci esattamente, ma suppongo che tu abbia visto questa stringa nella prima riga che hai ottenuto quando ti connetti a queste porte. Sia IMAP che POP3 (e SMTP e FTP ...) inviano dopo la connessione un saluto dal server al client e questo saluto spesso contiene un nome host o tipo di server o qualunque cosa gli amministratori abbiano voluto avere lì. Alla ricerca di fenix imap su shodan restituisce qualcosa del genere:

* OK [CAPABILITY IMAP4rev1 ... AUTH=PLAIN] Fenix ready.
* CAPABILITY IMAP4rev1 UNSELECT ID CHILDREN NAMESPACE IDLE UIDPLUS AUTH=PLAIN
A001 OK Pre-login capabilities listed, post-login capabilities have more.
* ID ("name" "Dovecot")
A002 OK ID completed.

Quindi, secondo l'ID, questo è un server Dovecot , una delle principali implementazioni di server IMAP / POP3 là fuori (e open source ). Ha un'impostazione per impostare il saluto, cioè un semplice

login_greeting = Fenix ready

Nel file dovecot.conf otterrai lo stesso tipo di risposta che vedi. Quindi qualcuno ha deciso che questo potrebbe essere un utile saluto e dalla query shodan sembra che GoDaddy sia dietro a molti di questi sistemi.

    
risposta data 23.08.2018 - 07:02
fonte

Leggi altre domande sui tag