Resumen
El 14 de abril de 2025, a las 15:54 UTC, nos llegaron noticias de una entrada online en la que se mencionaba que los usuarios estaban recibiendo spam procedente del dominio sophos.com. En menos de una hora, el equipo de detección y respuesta internas de Sophos fue informado y comenzó a investigar.
Nuestra investigación mostró que se estaban utilizando cuentas de prueba para aprovechar un fallo de lógica en la forma en que Sophos Email valida si los remitentes están autorizados a reenviar mensajes a través de nuestro servicio de correo electrónico en la nube.
Nuestro equipo tomó medidas inmediatas, entre ellas bloquear las cuentas y las direcciones IP implicadas, mientras investigaba cómo los atacantes habían logrado eludir esa política de validación.
La investigación determinó que la lógica utilizada para restringir una cuenta de cliente para que solo enviara correo desde los dominios que controlaba no era lo suficientemente estricta. Se implementaron soluciones permanentes para evitar este uso indebido en el futuro. Además, se impusieron restricciones a las cuentas de prueba para evitar futuros intentos de encontrar fallos por parte de cuentas no verificadas.
Impacto
Los atacantes lograron enviar aproximadamente 1,9 millones de mensajes de spam no maliciosos a través de las puertas de enlace de Sophos. Usaron principalmente las direcciones de correo electrónico salientes info [arroba] sophos [punto] com y news [arroba] sophos [punto] com, pero incluyeron 30 mensajes que suplantaban los dominios de 12 clientes de Sophos Email. Todos los clientes afectados fueron notificados por el servicio de soporte de Sophos.
Cronología
| Hora | Evento |
| 2 de abril de 2025 | Los ciberdelincuentes crean la primera cuenta de prueba para averiguar cómo eludir la política de filtrado saliente destinada a impedir la suplantación de dominio. |
| 13 de abril de 2025, 18:00 UTC | Los ciberdelincuentes comienzan a enviar grandes cantidades de correo electrónico saliente a través de las puertas de enlace de Sophos Email. |
| 14 de abril de 2025, 15:54 UTC | Primera publicación en Reddit, de /u/jegraves, desconcertado por el spam procedente de info [arroba] sophos [punto] com. |
| 14 de abril de 2025, 16:52 UTC | El equipo de detección y respuesta internas (IDR) de Sophos se percata de la publicación en Reddit y clasifica el incidente. |
| 14 de abril de 2025, 17:05 UTC | Sophos IDR inicia una investigación en la que intervienen las principales partes interesadas. |
| 14 de abril de 2025, 19:07 UTC | Sophos bloquea el dominio vinculado a la campaña de spam. |
| 15 de abril de 2025, 06:00 UTC | Se aplican los cambios a producción para evitar la suplantación de sophos.com. |
| 15 de abril de 2025, 16:33 UTC | Se bloquean en Sophos Email todas las direcciones IP y de correo electrónico relacionadas con la actividad indebida. |
| 17 de abril de 2025, 11:51 UTC | Se desactivan todas las cuentas de prueba vinculadas a las campañas de spam. |
| 19 de abril de 2025, 04:59 UTC | Se cambia la política para evitar que las futuras cuentas de prueba envíen correos salientes no gestionados por un Partner. |
Análisis
Por razones obvias, Sophos Email debe considerar cuidadosamente el origen de todos los mensajes enviados para su retransmisión saliente, con el fin de evitar un uso indebido. Cuando se lanzó el servicio, el sistema solo retransmitía el correo si tanto el remitente del sobre (o, si era NULL, el encabezado "De") como la dirección IP pertenecían al cliente asociado al dominio. Esto provocaba problemas con los mensajes reenviados, como las invitaciones de calendario, que no cumplían los criterios, lo que provocaba que resultaran rechazados.
En 2019, se implementó un cambio en esta lógica para tener en cuenta el encabezado "Remitente", además del remitente del sobre y el encabezado "De". Esto permitía a un usuario que recibiera una invitación de calendario externa de ejemplo.org reenviarla a un compañero en ejemplo.com, siempre que el encabezado "Remitente" perteneciera al cliente, aunque el encabezado "De" fuera de un dominio externo al cliente.
Esto creó la condición que los delincuentes estaban explotando. Un remitente malintencionado podía registrar una cuenta de prueba, enviar un mensaje en el que el remitente del sobre fuera NULL, el encabezado "Remitente" fuera una dirección de correo del dominio de la cuenta de prueba y la dirección "De" fuera una gestionada activamente por otros clientes de Sophos Email, principalmente sophos.com.
Aunque los atacantes registraron por primera vez una cuenta de prueba el 2 de abril de 2025, parece que al principio estaban en fase de experimentación. No comenzaron a enviar spam de forma intensiva hasta el 12 de abril de 2025, lo que limitó el tiempo acumulado de uso indebido a menos de dos días.
Resolución
Acciones inmediatas
El 15 de abril de 2025 se tomaron medidas inmediatas para bloquear los dominios y las direcciones IP asociados a los usuarios malintencionados y desactivar 24 cuentas relacionadas con la actividad de spam.
Los principales cambios en la lógica para resolver este incidente se implementaron el 16 de abril de 2025 y consistieron en mejorar la política implantada en 2019 para que fuera más restrictiva. Ahora, Sophos Email exigirá que el dominio del encabezado "De" pertenezca al mismo cliente que el encabezado "Remitente" cuando el remitente del sobre sea NULL. Esto se ajusta al caso de uso anterior del calendario, pero impide que los clientes suplanten la identidad de otros dominios gestionados por Sophos Email.
El 18 de abril de 2025 se implementó un tercer cambio para mitigar posibles usos indebidos en el futuro: impedir que las cuentas de prueba envíen correos electrónicos salientes. Esto se aplica a todas las cuentas de prueba creadas a partir de ahora, a menos que hayan sido creadas por un Partner de Sophos.
Sophos quiere dar las gracias a /u/jegraves por informarnos de este problema. Le hemos dado una recompensa a través de nuestro programa de recompensas por la detección de errores.
Acciones a largo plazo
Queremos mejorar las capacidades de detección de actividades sospechosas originadas en cuentas de prueba en Sophos Email. La mayoría de las actividades maliciosas comienzan poco después de la creación de la cuenta, lo que brinda la oportunidad de analizar el comportamiento de la cuenta y adoptar un enfoque más proactivo para mitigar el uso indebido.
Acciones adicionales
Los clientes pueden eliminar los correos electrónicos sospechosos o no deseados procedentes de info [arroba] sophos [punto] com y news [arroba] sophos [punto] com que llegaron entre el 13 de abril de 2025 y el 16 de abril de 2025.
Si tiene alguna otra pregunta o cree que necesita ayuda en relación con este incidente, póngase en contacto con el servicio de soporte de Sophos mediante cualquiera de las opciones siguientes.
- Envíe un caso: inicie sesión en el portal de soporte y pulse Ayuda -> Crear solicitud de soporte
- Clientes de MDR: póngase en contacto a través del panel de control de MDR o directamente con su contacto asignado para la respuesta a amenazas.