በማርች 10 ምሽት የ Mail.ru ድጋፍ አገልግሎት ከ Mail.ru IMAP/SMTP አገልጋዮች ጋር በኢሜል ፕሮግራሞች መገናኘት አለመቻሉን በተመለከተ ከተጠቃሚዎች ቅሬታዎችን መቀበል ጀመረ ። በተመሳሳይ ጊዜ, አንዳንድ ግንኙነቶች አላለፉም, እና አንዳንዶቹ የምስክር ወረቀት ስህተት ያሳያሉ. ስህተቱ የተከሰተው "አገልጋዩ" በራሱ የተፈረመ የTLS ሰርተፍኬት በማውጣቱ ነው።
በሁለት ቀናት ውስጥ ከ10 በላይ ቅሬታዎች በተለያዩ ኔትወርኮች እና በተለያዩ መሳሪያዎች ከተጠቃሚዎች ስለመጡ ችግሩ በማንኛውም አገልግሎት አቅራቢ አውታረመረብ ውስጥ ነው ተብሎ የማይታሰብ ነው። የችግሩን የበለጠ ዝርዝር ትንታኔ imap.mail.ru አገልጋይ (እንዲሁም ሌሎች የመልእክት አገልጋዮች እና አገልግሎቶች) በዲ ኤን ኤስ ደረጃ እየተተካ መሆኑን አሳይቷል። በተጨማሪም ፣በተጠቃሚዎቻችን ንቁ እገዛ ፣ምክንያቱ በራውተራቸው መሸጎጫ ውስጥ የተሳሳተ ግቤት ፣ይህም የአካባቢ ዲ ኤን ኤስ ፈላጊ እና በብዙ (ነገር ግን ሁሉም አይደለም) ጉዳዮች MikroTik ሆኖ ተገኝቷል። መሳሪያ, በአነስተኛ የኮርፖሬት ኔትወርኮች እና በትንሽ የበይነመረብ አቅራቢዎች ውስጥ በጣም ታዋቂ.
ችግሩ ምንድን ነው
በሴፕቴምበር 2019 ተመራማሪዎች በMikroTik RouterOS ውስጥ ያሉ በርካታ ተጋላጭነቶች (CVE-2019-3976፣ CVE-2019-3977፣ CVE-2019-3978፣ CVE-2019-3979)፣ ይህም የዲ ኤን ኤስ መሸጎጫ መመረዝ ጥቃትን ፈቅዷል፣ ማለትም። የዲ ኤን ኤስ መዝገቦችን በራውተር ዲ ኤን ኤስ መሸጎጫ ውስጥ የማጣራት ችሎታ ፣ እና CVE-2019-3978 አጥቂው የመፍታት መሸጎጫውን ለመመረዝ ከውስጥ አውታረመረብ የሆነ ሰው በዲ ኤን ኤስ አገልጋይ ውስጥ እንዲገባ እንዲጠይቅ እንዳይጠብቅ ያስችለዋል ፣ ግን እንዲህ ዓይነቱን ለመጀመር። ጥያቄ ራሱ በወደብ 8291 (UDP እና TCP) በኩል። ተጋላጭነቱ በ ራውተርኦኤስ 6.45.7 (የተረጋጋ) እና 6.44.6 (የረዥም ጊዜ) በጥቅምት 28 ቀን 2019 በ MikroTik ተስተካክሏል ነገር ግን በ አብዛኛዎቹ ተጠቃሚዎች በአሁኑ ጊዜ ጥገናዎችን አልጫኑም።
ይህ ችግር አሁን በንቃት "በቀጥታ" ጥቅም ላይ እንደሚውል ግልጽ ነው.
ለምን አደገኛ ነው
አንድ አጥቂ በውስጣዊ አውታረመረብ ላይ በተጠቃሚ የሚደርስ የማንኛውንም አስተናጋጅ የዲ ኤን ኤስ መዝገብ ሊሰርዝ ይችላል፣ በዚህም ወደ እሱ የሚሄደውን ትራፊክ ይቋረጣል። ሚስጥራዊነት ያለው መረጃ ያለ ምስጠራ የሚተላለፍ ከሆነ (ለምሳሌ በ http:// ላይ ያለ TLS) ወይም ተጠቃሚው የውሸት ሰርተፍኬት ለመቀበል ከተስማማ አጥቂው በግንኙነቱ በኩል የተላከውን ሁሉንም ዳታ እንደ መግቢያ ወይም የይለፍ ቃል ማግኘት ይችላል። እንደ አለመታደል ሆኖ, ልምምድ እንደሚያሳየው አንድ ተጠቃሚ የውሸት ሰርተፍኬት ለመቀበል እድሉ ካለው, እሱን ይጠቀማል.
ለምን SMTP እና IMAP አገልጋዮች እና ምን የተቀመጡ ተጠቃሚዎች
ለምንድነው አጥቂዎቹ የ SMTP/IMAP የኢሜል አፕሊኬሽኖችን ትራፊክ ለመጥለፍ የሞከሩት ፣የድር ትራፊክን ሳይሆን ፣ምንም እንኳን አብዛኛው ተጠቃሚዎች ኢሜላቸውን የሚደርሱት በኤችቲቲፒኤስ አሳሽ ነው?
በSMTP እና IMAP/POP3 የሚሰሩ ሁሉም የኢሜል ፕሮግራሞች ተጠቃሚውን ከስህተቶች የሚከላከሉት አይደሉም፣ ምንም እንኳን በመደበኛው መሰረት ምንም እንኳን ደህንነቱ ባልተጠበቀ ወይም በተበላሸ ግንኙነት መግቢያ እና የይለፍ ቃል እንዳይልክ ይከለክላል። በ 2018 (እና በ Mail.ru ውስጥ በጣም ቀደም ብሎ የተተገበረ) ፣ በማንኛውም ደህንነቱ ባልተጠበቀ ግንኙነት ተጠቃሚውን ከይለፍ ቃል መጥለፍ መጠበቅ አለባቸው። በተጨማሪም የ OAuth ፕሮቶኮል በኢሜል ደንበኞች ውስጥ በጣም አልፎ አልፎ ጥቅም ላይ ይውላል (በ Mail.ru mail አገልጋዮች ይደገፋል) እና ያለ እሱ መግቢያ እና የይለፍ ቃል በእያንዳንዱ ክፍለ ጊዜ ይተላለፋል።
ማሰሻዎች ከሰው-በመካከለኛው ጥቃቶች በትንሹ የተሻሉ ሊሆኑ ይችላሉ። በሁሉም የ mail.ru ወሳኝ ጎራዎች ላይ ከኤችቲቲፒኤስ በተጨማሪ የ HSTS (ኤችቲቲፒ ጥብቅ የትራንስፖርት ደህንነት) ፖሊሲ ነቅቷል። HSTS የነቃ ዘመናዊ አሳሽ ተጠቃሚው ቢፈልግም የውሸት ሰርተፍኬት ለመቀበል ቀላል አማራጭ አይሰጥም። ከኤችኤስኤስኤስ በተጨማሪ ተጠቃሚዎች የተቀመጡት ከ2017 ጀምሮ SMTP፣ IMAP እና POP3 የ Mail.ru አገልጋዮች የይለፍ ቃሎችን ደህንነቱ ባልተጠበቀ ግንኙነት ማስተላለፍ ስለሚከለክሉ ሁሉም ተጠቃሚዎቻችን በSMTP፣ POP3 እና IMAP በኩል ለማግኘት TLS ተጠቅመዋል፣ እና ስለዚህ መግቢያ እና የይለፍ ቃል መጥለፍ የሚችለው ተጠቃሚው ራሱ የተበላሸውን የምስክር ወረቀት ለመቀበል ከተስማማ ብቻ ነው።
ለሞባይል ተጠቃሚዎች ሁልጊዜ የ Mail.ru አፕሊኬሽኖችን ተጠቅመን መልዕክትን እንዲደርሱ እንመክራለን፣ ምክንያቱም... በእነሱ ውስጥ ከደብዳቤ ጋር መስራት ከአሳሾች ወይም አብሮገነብ SMTP/IMAP ደንበኞች የበለጠ ደህንነቱ የተጠበቀ ነው።
ምን መደረግ አለበት
የ MikroTik RouterOS firmware ወደ ደህንነቱ የተጠበቀ ስሪት ማዘመን አስፈላጊ ነው። በሆነ ምክንያት ይህ የማይቻል ከሆነ በፖርት 8291 (tcp እና udp) ላይ ያለውን ትራፊክ ማጣራት አስፈላጊ ነው, ይህ የችግሩን ብዝበዛ ያወሳስበዋል, ምንም እንኳን በዲ ኤን ኤስ መሸጎጫ ውስጥ ተገብሮ የመግባት እድልን ባያጠፋም. የድርጅት ተጠቃሚዎችን ለመጠበቅ አይኤስፒዎች ይህንን ወደብ በኔትወርካቸው ላይ ማጣራት አለባቸው።
የተተካ ሰርተፍኬት የተቀበሉ ሁሉም ተጠቃሚዎች የኢሜል እና ሌሎች ይህ ሰርተፍኬት ተቀባይነት ያገኘባቸው አገልግሎቶች የይለፍ ቃሉን በአስቸኳይ መለወጥ አለባቸው። በበኩላችን በተጋላጭ መሣሪያዎች በኩል መልዕክት የሚደርሱ ተጠቃሚዎችን እናሳውቅዎታለን።
PS በልጥፉ ላይ የተገለጸ ተዛማጅ ተጋላጭነትም አለ። "".
ምንጭ: hab.com