Solución: Vulnerabilidad Roundcube y los reenvios Ocultos

por | May 12, 2023 | web | 0 Comentarios

webmail correo

Buenas Wecindario 😊, ¿Te ha pasado alguna vez que de repente escribes un correo en webmail por ejemplo info@tudominio.com ( donde siempre ) y de repente  te rebota un email  de error  diciendo que la cuenta Gmail a la que escribes No funciona? 👇

Y tu te preguntas ¿Qué cuentas de Gmail ? Yo no he escrito a ningún Gmail y menos a ese, ya que lo desconozco, pues entonces sospecha , y mucho , de tu Webmail y Rouncube que han sido vulnerados y te han puesto dentro una redirección! Sí, como lo Oyes, hay que acceder al Webmail y revisarlo, y efectivamente eliminar esa redirección indebida lo antes posible. Y si eres administrador de la máquina evita que esto pase de nuevo quitando del desplegable del filtro la opción de "enviar copia del mensaje a", sigue leyendo y mira como buscar más redirecciones, como quitar esta opción del desplegable y quien  más tiene esta redirección desde Webmail

Hosting Web

ROUNDCUBE

Nos conectamos ssh  como root al servidor y vamos a :cd /var/qmail/mailnames
Y una vez allí : find . -name roundcube.sieve -exec grep redirect {} \;
webmail

Si nos salen resultados : Es que Si se está usando el filtro de envío de email, ejecutaremos un par de comandos más para confirmar y luego seguiremos detalles de como ver el filtro, eliminar y desactivar

Luego ejecutamos:find /var/qmail/mailnames/ -type f -name '*sieve' | xargs grep 'copy'

 

webmail correo

Y  vemos el email que tiene redireccionado y podremos acceder al webmail en cuestión a ver/eliminar ese filtro

Y finalmente (este da menos info o marea un poco, pero lo ejecutaremos para hecha un vistazo y confirmar lo que se ha visto antes de antes) find /var/qmail/mailnames/ -type f -name '*sieve' | xargs grep '@'

El siguiente paso es : Ver si ese filtro lo ha creado el cliente adrede,  o no sabe nada y está creado por el Hacker

Filtro Real (Creado por el cliente)

Una de las opciones,   es que el cliente haya creado el filtro para reenviarse ciertos correos a su email Gmail, por ejemplo, y de ser así opino que hables con el cliente para hacer esa redirección de otro modo, y luego , deshabilitas en el servidor la opción de "enviar copia del mensaje a"

¿Y cómo lo sabremos? La primera pista de que el filtro lo ha creado el cliente, es que cuando vas a Webmail a filtros, el filtro creado tiene un nombre, por ejemplo Hoswedaje (después ya veremos que los filtro del hacker No tiene nombre solo un "punto" )

Y cuando vas a él, ves, por ejemplo, que pone: El asunto contiene web hoswedaje, reenviar/redirigir a loquesea@gmail.com (un filtro más trabajado y especifico)

filtro en correo

Entonces lo que hay que hacer es avisar al cliente porque eso se debe de quitar por seguridad, y cuando lo hables , ya le das a eliminar el filtro. Luego ya lo deshabilitas del servidor, así esto No lo podrá hacer de nuevo

Hosting Web

Filtro Indebido  ( lo ha creado el hacker)

Y la otra opción es: Que No lo ha hecho el cliente y lo debes de eliminar cuanto antes ¿Cómo lo sabemos? El filtro tiene de nombre un "punto o varios puntos" (no la palabra punto, sino el punto en si)

Y dentro directamente "todos los mensajes" se reenvían a: loquesea@gmail.com y un Gmail que NADIE conoce (copiamos el gmail en algún lugar para buscar luego más información en los logs, y directamente eliminas ese filtro) (un ejemplo en la captura)

 

Deshabilitar la opción de reenvío (En Roundcube)

Ahora bien, ya tenemos todas las redirecciones buenas y malas eliminadas y no vamos a dejar que ni los clientes ni los hackers hagan esto más, entonces editamos: vi  /usr/share/psa-roundcube/plugins/managesieve/config.inc.php  Y ponemos: $config['managesieve_disabled_actions'] = ['redirect'];

Y  al acceder de nuevo al Webmail es crear un filtro verás que No es posible ya el reenvío.

Si actualizas el servidor o Plesk, asegúrate de revisar de nuevo el archivo config.inc.php  y asegurarte que sigue el parámetro desactivado, si no lo editas de nuevo. Esperemos que Plesk lo solucione en futuras actualizaciones , a dia de hoy siguen sin dar solución, por ello he puesto esta entrada blog, porque uno se puede esperar más.
Después de un mes con la vulnerabilidad y No dan solución. Aquí la tenéis importante en Horde tambien pasa mira esta entrada:  Solución: Vulnerabilidad Horde y los reenvios Ocultos
Espero que os haya gustado, esto es todo por hoy Wecindario, y ¡hasta la próxima!

Tu Hosting a un Precio Excelente con Hoswedaje

Si estas pensando en crear tu página web pero no tienes decido el hosting, te ofrecemos nuestros servicios. Puedes consultar más información acerca de estos Hosting a continuación:

webmail  Si estas interesado en un Hosting para WordPress, consulta este enlace.

ip publica  Si tienes un Ecommerce, este es tu Hosting ideal para PrestaShop.

filtro en correo  Hosting Joomla, consulta los distintos planes.

webmail  Si tienes un Hosting Drupal, este es tu alojamiento.

webmail  Consulta el Hosting perfecto para Magento

Si necesitas realizar cualquier consulta, o quieres asesoramiento personalizado, contacta con nosotros.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

90 ÷ = 9

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y el contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos. Información sobre protección de datos
  • Responsable: SAMAGA CLOUD SL.
  • Fin del tratamiento: Controlar el spam, gestión de comentarios
  • Legitimación: Tu consentimiento
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  • Derechos: Acceso, rectificación, portabilidad, olvido.
  • Contacto: soporte@hoswedaje.com
  • Información adicional: Más información en nuestra política de privacidad.