Martın 10-da axşam saatlarında Mail.ru dəstək xidməti istifadəçilərdən e-poçt proqramları vasitəsilə Mail.ru IMAP/SMTP serverlərinə qoşula bilməməsi ilə bağlı şikayətlər almağa başlayıb. Eyni zamanda, bəzi bağlantılar keçmədi, bəziləri isə sertifikat xətası göstərir. Xəta “server”in özünü imzalayan TLS sertifikatı verməsi ilə əlaqədardır.
İki gün ərzində müxtəlif şəbəkələrdə və müxtəlif cihazlarda olan istifadəçilərdən 10-dan çox şikayət daxil olub və bu, çətin ki, problem hər hansı bir provayderin şəbəkəsində olub. Problemin daha ətraflı təhlili zamanı məlum oldu ki, imap.mail.ru serveri (eləcə də digər poçt serverləri və xidmətləri) DNS səviyyəsində dəyişdirilir. Bundan əlavə, istifadəçilərimizin aktiv köməyi ilə bunun səbəbinin yerli DNS həlledicisi olan və bir çox hallarda (amma hamısı deyil) MikroTik olduğu ortaya çıxan marşrutlaşdırıcının önbelleğinde səhv bir giriş olduğunu gördük. kiçik korporativ şəbəkələrdə və kiçik İnternet provayderlərindən çox məşhur olan cihaz.
Problem nədir
2019-cu ilin sentyabr ayında tədqiqatçılar MikroTik RouterOS-da (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979) bir neçə boşluq, bu da DNS keşinin zəhərlənməsi hücumuna imkan verir, yəni. marşrutlaşdırıcının DNS keşindəki DNS qeydlərini saxtalaşdırmaq imkanı və CVE-2019-3978 təcavüzkarın həlledici keşini zəhərləmək üçün daxili şəbəkədən kiminsə onun DNS serverinə giriş tələb etməsini gözləməyə deyil, belə əməliyyatları başlatmağa imkan verir. 8291 portu (UDP və TCP) vasitəsilə sorğu özü. Boşluq MikroTik tərəfindən 6.45.7 oktyabr 6.44.6-cu ildə RouterOS 28 (stabil) və 2019 (uzunmüddətli) versiyalarında aradan qaldırılıb, lakin uyğun olaraq Əksər istifadəçilər hazırda yamaqları quraşdırmayıblar.
Aydındır ki, bu problem indi “canlı” olaraq fəal şəkildə istifadə olunur.
Niyə təhlükəlidir
Təcavüzkar daxili şəbəkədə istifadəçinin daxil olduğu istənilən hostun DNS qeydini saxtalaşdıra və bununla da ona gedən trafiki ələ keçirə bilər. Həssas məlumatlar şifrələnmədən ötürülürsə (məsələn, http:// üzərindən TLS olmadan) və ya istifadəçi saxta sertifikatı qəbul etməyə razıdırsa, təcavüzkar giriş və ya parol kimi əlaqə vasitəsilə göndərilən bütün məlumatları əldə edə bilər. Təəssüf ki, təcrübə göstərir ki, istifadəçinin saxta sertifikatı qəbul etmək imkanı varsa, o, bundan yararlanacaq.
Niyə SMTP və IMAP serverləri və istifadəçiləri xilas edənlər
Əksər istifadəçilər öz poçtlarına HTTPS brauzeri vasitəsilə daxil olsalar da, niyə təcavüzkarlar veb trafikini deyil, e-poçt proqramlarının SMTP/IMAP trafikini ələ keçirməyə cəhd ediblər?
SMTP və IMAP/POP3 vasitəsilə işləyən bütün e-poçt proqramları istifadəçini xətalardan qorumur, standarta uyğun olsa da, ona təhlükəsiz olmayan və ya pozulmuş əlaqə vasitəsilə giriş və parol göndərməsinə mane olur. , 2018-ci ildə qəbul edilmiş (və Mail.ru-da daha əvvəl tətbiq edilmişdir), onlar istifadəçini hər hansı bir təhlükəsiz əlaqə vasitəsilə parolun tutulmasından qorumalıdırlar. Bundan əlavə, OAuth protokolu e-poçt müştərilərində çox nadir hallarda istifadə olunur (bu, Mail.ru poçt serverləri tərəfindən dəstəklənir) və onsuz hər sessiyada giriş və şifrə ötürülür.
Brauzerlər Man-in-the-Middle hücumlarına qarşı bir az daha yaxşı qoruna bilər. Bütün mail.ru kritik domenlərində, HTTPS-ə əlavə olaraq, HSTS (HTTP ciddi nəqliyyat təhlükəsizliyi) siyasəti aktivləşdirilir. HSTS aktivləşdirildikdə, müasir brauzer istifadəçi istəsə belə, istifadəçiyə saxta sertifikatı qəbul etmək üçün asan seçim vermir. HSTS-ə əlavə olaraq, istifadəçilər 2017-ci ildən Mail.ru-nun SMTP, IMAP və POP3 serverlərində parolların qorunmamış əlaqə üzərindən ötürülməsini qadağan etdiyindən, bütün istifadəçilərimiz SMTP, POP3 və IMAP vasitəsilə daxil olmaq üçün TLS-dən istifadə edərək xilas oldular. buna görə də login və parol yalnız istifadəçinin saxta sertifikatı qəbul etməyə razı olduğu halda müdaxilə edə bilər.
Mobil istifadəçilər üçün poçta daxil olmaq üçün həmişə Mail.ru proqramlarından istifadə etməyi tövsiyə edirik, çünki... onlarda poçtla işləmək brauzerlərdə və ya quraşdırılmış SMTP/IMAP müştərilərindən daha təhlükəsizdir.
Nə etməliyəm?
MikroTik RouterOS proqram təminatını təhlükəsiz versiyaya yeniləmək lazımdır. Əgər nədənsə bu mümkün deyilsə, 8291 portunda (tcp və udp) trafiki filtrləmək lazımdır, bu DNS keşinə passiv inyeksiya imkanını aradan qaldırmasa da, problemin istismarını çətinləşdirəcək. ISP-lər korporativ istifadəçiləri qorumaq üçün öz şəbəkələrində bu portu filtrləməlidirlər.
Əvəz edilmiş sertifikatı qəbul etmiş bütün istifadəçilər bu sertifikatın qəbul edildiyi e-poçt və digər xidmətlər üçün parolu təcili olaraq dəyişdirməlidirlər. Öz tərəfimizdən, həssas cihazlar vasitəsilə poçta daxil olan istifadəçiləri xəbərdar edəcəyik.
PS Yazıda təsvir edilən əlaqəli zəiflik də var "".
Mənbə: www.habr.com