Op die aand van 10 Maart het Mail.ru-ondersteuningsdiens klagtes van gebruikers begin ontvang oor die onvermoë om deur e-posprogramme aan Mail.ru IMAP/SMTP-bedieners te koppel. Terselfdertyd het sommige verbindings nie deurgegaan nie, en sommige toon 'n sertifikaatfout. Die fout word veroorsaak deur die "bediener" wat 'n selfondertekende TLS-sertifikaat uitreik.
Binne twee dae het meer as 10 klagtes van gebruikers op 'n verskeidenheid netwerke en met 'n verskeidenheid toestelle ingekom, wat dit onwaarskynlik maak dat die probleem in die netwerk van enige verskaffer was. 'n Meer gedetailleerde ontleding van die probleem het aan die lig gebring dat die imap.mail.ru-bediener (sowel as ander posbedieners en -dienste) op die DNS-vlak vervang word. Verder, met die aktiewe hulp van ons gebruikers, het ons gevind dat die rede 'n verkeerde inskrywing in die kas van hul router was, wat ook 'n plaaslike DNS-oplosser is, en wat in baie (maar nie alle nie) gevalle die MikroTik was. toestel, baie gewild in klein korporatiewe netwerke en van klein internetverskaffers.
Wat is die probleem
In September 2019 het navorsers verskeie kwesbaarhede in MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), wat 'n DNS-kasvergiftigingsaanval toegelaat het, d.w.s. die vermoë om DNS-rekords in die router se DNS-kas te bedrieg, en CVE-2019-3978 laat die aanvaller toe om nie te wag vir iemand van die interne netwerk om 'n inskrywing op sy DNS-bediener te versoek om die resolver-kas te vergiftig nie, maar om so 'n 'n versoek self deur die hawe 8291 (UDP en TCP). Die kwesbaarheid is op 6.45.7 Oktober 6.44.6 deur MikroTik in weergawes van RouterOS 28 (stabiel) en 2019 (langtermyn) reggestel, maar volgens Die meeste gebruikers het nie tans pleisters geïnstalleer nie.
Dit is duidelik dat hierdie probleem nou aktief “regstreeks” uitgebuit word.
Hoekom is dit gevaarlik
'n Aanvaller kan die DNS-rekord van enige gasheer waartoe 'n gebruiker op die interne netwerk toegang verkry, bedrieg, en daardeur verkeer daarheen onderskep. As sensitiewe inligting sonder enkripsie versend word (byvoorbeeld oor http:// sonder TLS) of die gebruiker instem om 'n vals sertifikaat te aanvaar, kan die aanvaller al die data kry wat deur die verbinding gestuur word, soos 'n aanmelding of wagwoord. Ongelukkig wys die praktyk dat as 'n gebruiker die geleentheid het om 'n vals sertifikaat te aanvaar, hy dit sal benut.
Waarom SMTP- en IMAP-bedieners, en wat gebruikers gered het
Waarom het die aanvallers probeer om SMTP/IMAP-verkeer van e-postoepassings te onderskep, en nie webverkeer nie, hoewel die meeste gebruikers toegang tot hul e-pos via HTTPS-blaaier kry?
Nie alle e-posprogramme wat via SMTP en IMAP/POP3 werk, beskerm die gebruiker teen foute nie, wat hom verhoed om login en wagwoord deur 'n onversekerde of gekompromitteerde verbinding te stuur, alhoewel volgens die standaard , wat in 2018 aangeneem is (en baie vroeër in Mail.ru geïmplementeer is), moet hulle die gebruiker beskerm teen wagwoordonderskepping deur enige onversekerde verbinding. Daarbenewens word die OAuth-protokol baie selde in e-poskliënte gebruik (dit word ondersteun deur Mail.ru-posbedieners), en daarsonder word die aanmelding en wagwoord in elke sessie oorgedra.
Blaaiers is dalk 'n bietjie beter beskerm teen Man-in-the-Middle-aanvalle. Op alle mail.ru kritieke domeine, benewens HTTPS, is die HSTS (HTTP streng vervoer sekuriteit) beleid geaktiveer. Met HSTS geaktiveer, gee 'n moderne blaaier die gebruiker nie 'n maklike opsie om 'n vals sertifikaat te aanvaar nie, selfs al wil die gebruiker. Benewens HSTS, is gebruikers gered deur die feit dat sedert 2017, SMTP-, IMAP- en POP3-bedieners van Mail.ru die oordrag van wagwoorde oor 'n onversekerde verbinding verbied, al ons gebruikers het TLS gebruik vir toegang via SMTP, POP3 en IMAP, en login en wagwoord kan dus slegs onderskep indien die gebruiker self instem om die bedrieglike sertifikaat te aanvaar.
Vir mobiele gebruikers beveel ons altyd aan om Mail.ru-toepassings te gebruik om toegang tot pos te kry, want... om met pos daarin te werk, is veiliger as in blaaiers of ingeboude SMTP/IMAP-kliënte.
Wat moet gedoen word?
Dit is nodig om die MikroTik RouterOS-firmware op te dateer na 'n veilige weergawe. As dit om een of ander rede nie moontlik is nie, is dit nodig om verkeer op poort 8291 te filter (tcp en udp), dit sal die uitbuiting van die probleem bemoeilik, hoewel dit nie die moontlikheid van passiewe inspuiting in die DNS-kas sal uitskakel nie. ISP's moet hierdie poort op hul netwerke filter om korporatiewe gebruikers te beskerm.
Alle gebruikers wat 'n vervangende sertifikaat aanvaar het, moet dringend die wagwoord verander vir e-pos en ander dienste waarvoor hierdie sertifikaat aanvaar is. Van ons kant sal ons gebruikers in kennis stel wat toegang tot pos deur kwesbare toestelle verkry.
NS Daar is ook 'n verwante kwesbaarheid wat in die pos beskryf word "".
Bron: will.com