Présentation
Le 14 avril 2025, à 15 h 54 UTC, un rapport a fait état de l’envoi de spams provenant du domaine sophos.com à des utilisateurs. Dans l’heure qui a suivi, l’équipe Internal Detection and Response de Sophos a été informée et a commencé à analyser le rapport.
Notre investigation a révélé que des comptes d’évaluation étaient utilisés pour exploiter une faille logique dans la manière dont Sophos Email valide si les expéditeurs sont autorisés à relayer via notre service de messagerie dans le Cloud.
Notre équipe a pris des mesures immédiates, notamment en bloquant les comptes et les adresses IP impliqués dans la violation, dans le cadre d’une investigation visant à déterminer comment les attaquants ont pu contourner cette politique de validation.
Cette investigation a permis de déterminer que la logique appliquée pour contraindre un compte client à n’envoyer des emails qu’à partir de domaines sous son contrôle n’était pas assez stricte. Des solutions permanentes ont été implémentées pour éviter de tels abus à l’avenir. En outre, des restrictions ont été imposées aux comptes d’évaluation afin d’empêcher les tentatives futures de découverte de failles par des comptes non vérifiés.
Impact :
Les attaquants ont réussi à envoyer environ 1,9 million d’emails de spam non malveillants par l’intermédiaire des passerelles Sophos. L’attaque a principalement utilisé les adresses électroniques sortantes info [AT] sophos [DOT] com et news [AT] sophos [DOT] com, mais a également inclus 30 emails usurpant l’identité des domaines de 12 clients de Sophos Email. Tous les clients concernés ont été informés par le support Sophos.
Chronologie
| Chronologie | Événement |
| 2 avril 2025 | Premier compte d’évaluation créé par des acteurs malveillants (Threat Actors, TA) pour trouver le moyen de contourner la politique de filtrage des flux sortants destinée à empêcher l’usurpation d’identité dans un domaine. |
| 13 avril 2025, 18 h UTC | Les TA commencent à envoyer de grandes quantités d’emails via les passerelles de Sophos Email. |
| 14 avril 2025, 15 h 54 UTC | Premier post sur Reddit par /u/jegraves concernant un spam provenant de info [AT] sophos [DOT] com. |
| 14 avril 2025, 16 h 52 UTC | L’équipe Internal Detection and Response (IDR) de Sophos est avertie de la publication sur Reddit et procède au traitement de l’incident. |
| 14 avril 2025, 17 h 5 UTC | Sophos IDR entame une investigation impliquant les principales parties prenantes. |
| 14 avril 2025, 19 h 7 UTC | Sophos bloque le domaine lié à la campagne de spam. |
| 15 avril 2025, 6 h UTC | Des modifications sont mises en production pour prévenir l’usurpation de sophos.com. |
| 15 avril 2025, 16 h 33 UTC | Toutes les IP et les adresses électroniques liées à cette attaque sont bloquées dans Sophos Email. |
| 17 avril 2025, 11 h 51 UTC | Désactivation de tous les comptes d’évaluation liés aux campagnes de spam. |
| 19 avril 2025, 4 h 59 UTC | Modification de la politique de sécurité pour empêcher les futurs comptes d’évaluation d’envoyer des emails sortants qui ne sont pas gérés par un partenaire ou un revendeur. |
Analyse
Pour des raisons évidentes, Sophos Email doit examiner attentivement l’origine de tous les emails soumis au relais sortant, afin d’éviter les utilisations frauduleuses. Lorsque le service a été lancé, le système ne relayait l’email que si l’expéditeur de l’enveloppe (ou si NULL, l’en-tête « De ») et l’adresse IP appartenaient tous deux au client associé au domaine. Cette règle a donné lieu à des problèmes lorsque des emails transférés, tels que des invitations à un calendrier, ne répondaient pas aux critères, ce qui entraînait leur rejet.
En 2019, une modification a été apportée à cette logique afin de prendre en compte l’en-tête « Expéditeur » ainsi que l’en-tête d’expéditeur de l’enveloppe et l’en-tête « De ». Ainsi, un utilisateur qui reçoit une invitation externe à un calendrier depuis exemple.org pourrait la transférer à un ami sur exemple.com, tant que l’en-tête « Expéditeur » appartient au client, bien que l’en-tête « De » provienne d’un domaine externe au client.
Cela a créé la situation dont les criminels ont abusé. Un expéditeur malveillant pourrait créer un compte d’évaluation, envoyer un email dans lequel l’expéditeur de l’enveloppe serait NULL, l’en-tête « Expéditeur » serait une adresse électronique dans le domaine du compte d’évaluation, et l’adresse « De » serait une adresse activement gérée par d’autres clients de Sophos Email, principalement sophos.com.
Les attaquants ont créé un compte d’évaluation le 2 avril 2025, mais tout porte à croire qu’ils ont d’abord entamé une phase d’expérimentation. Ils n’ont commencé à envoyer véritablement des spams que le 12 avril 2025, ce qui a limité la durée cumulée de ces abus à moins de deux jours.
Résolution
Actions immédiates
Des mesures immédiates ont été prises le 15 avril 2025 pour bloquer les domaines et les adresses IP associés aux auteurs des utilisations frauduleuses et pour désactiver 24 comptes associés à l’activité de spamming.
Les principaux changements de logique implémentés pour résoudre cet incident ont été appliqués le 16 avril 2025 et consistaient à améliorer la politique de sécurité implémentée en 2019 pour qu’elle soit plus restrictive. Sophos Email exige désormais que le domaine de l’en-tête « De » appartienne au même client que l’en-tête « Expéditeur » lorsque l’expéditeur de l’enveloppe est NULL. Cette mesure tient compte du cas d’usage du calendrier précédent, mais empêche les clients d’usurper l’identité d’autres domaines gérés par Sophos Email.
Une troisième modification a été implémentée le 18 avril 2025 afin de limiter les abus futurs en interdisant aux comptes d’évaluation d’envoyer des emails sortants. Cette mesure s’applique à tous les comptes d’évaluation qui seront créés à l’avenir, sauf s’ils ont été créés par un partenaire Sophos.
Sophos tient à remercier/u/jegraves pour avoir attiré notre attention sur ce problème. Nous leur avons accordé une récompense dans le cadre de notre programme Bug Bounty.
Actions à plus long terme
Amélioration des capacités de détection des activités suspectes provenant de comptes d’évaluation dans Sophos Email. La plupart des activités malveillantes surviennent peu après la création d’un compte, ce qui permet d’analyser le comportement des comptes et d’adopter une approche plus proactive de la lutte contre les abus.
Actions supplémentaires
Les clients sont invités à supprimer les emails suspects ou les spams provenant de info [AT] sophos [DOT] com et news [AT] sophos [DOT] com arrivés entre le 13 avril 2025 et le 16 avril 2025.
Si vous avez d’autres questions ou si vous pensez avoir besoin d’aide concernant cet incident, contactez le support Sophos en utilisant l’une des options ci-dessous.
- Envoyer un dossier : Connectez-vous au Portail du support et cliquez sur Aide -> Créer un ticket de support.
- Clients MDR : Vous pouvez nous contacter via votre tableau de bord MDR ou directement auprès de votre contact Sophos en charge de la réponse aux menaces.