Актуализирайте RouterOS на вашия MikroTik

Вечерта на 10 март службата за поддръжка на Mail.ru започна да получава оплаквания от потребители относно невъзможността да се свържат с IMAP/SMTP сървърите на Mail.ru чрез имейл програми. В същото време някои връзки не преминаха, а някои показват грешка в сертификата. Грешката е причинена от „сървъра“, който издава самоподписан TLS сертификат.
 

За два дни дойдоха повече от 10 оплаквания от потребители в различни мрежи и с различни устройства, което прави малко вероятно проблемът да е в мрежата на който и да е доставчик. По-подробен анализ на проблема показа, че сървърът imap.mail.ru (както и други пощенски сървъри и услуги) се подменя на ниво DNS. Освен това, с активната помощ на нашите потребители, открихме, че причината е неправилен запис в кеша на техния рутер, който също е локален DNS резолвер и който в много (но не всички) случаи се оказа MikroTik устройство, много популярно в малки корпоративни мрежи и от малки интернет доставчици.

Какъв е проблемът

През септември 2019 г. изследователите намерени няколко уязвимости в MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), които позволиха атака с отравяне на DNS кеш, т.е. възможността за подправяне на DNS записи в DNS кеша на рутера, а CVE-2019-3978 позволява на атакуващия да не чака някой от вътрешната мрежа да поиска запис на неговия DNS сървър, за да отрови кеша на резолвера, а да инициира такъв сам да поиска през порт 8291 (UDP и TCP). Уязвимостта беше коригирана от MikroTik във версии на RouterOS 6.45.7 (стабилна) и 6.44.6 (дългосрочна) на 28 октомври 2019 г., но според изследвания Повечето потребители в момента не са инсталирали корекции.

Очевидно е, че този проблем сега се използва активно „на живо“.

Защо е опасно

Нападателят може да подмени DNS записа на всеки хост, достъпен от потребител във вътрешната мрежа, като по този начин прихване трафика към него. Ако чувствителната информация се предава без криптиране (например през http:// без TLS) или потребителят се съгласи да приеме фалшив сертификат, атакуващият може да получи всички данни, които се изпращат чрез връзката, като потребителско име или парола. За съжаление практиката показва, че ако потребител има възможност да приеме фалшив сертификат, той ще се възползва от него.

Защо SMTP и IMAP сървъри и какво спаси потребителите

Защо нападателите се опитаха да прихванат SMTP/IMAP трафик на имейл приложения, а не уеб трафик, въпреки че повечето потребители имат достъп до пощата си през HTTPS браузър?

Не всички програми за електронна поща, работещи чрез SMTP и IMAP/POP3, защитават потребителя от грешки, като не му позволяват да изпрати потребителско име и парола през незащитена или компрометирана връзка, въпреки че според стандарта RFC 8314, приети още през 2018 г. (и внедрени в Mail.ru много по-рано), те трябва да защитават потребителя от прихващане на парола чрез всяка незащитена връзка. В допълнение, протоколът OAuth се използва много рядко в имейл клиентите (поддържа се от пощенските сървъри на Mail.ru) и без него данните за вход и паролата се предават във всяка сесия.

Браузърите може да са малко по-добре защитени срещу атаки Man-in-the-Middle. Във всички критични домейни на mail.ru, в допълнение към HTTPS, е активирана политиката HSTS (HTTP strict transport security). С активиран HSTS модерен браузър не дава на потребителя лесна опция да приеме фалшив сертификат, дори ако потребителят иска. В допълнение към HSTS, потребителите бяха спасени от факта, че от 2017 г. SMTP, IMAP и POP3 сървърите на Mail.ru забраняват прехвърлянето на пароли през незащитена връзка; всички наши потребители използваха TLS за достъп чрез SMTP, POP3 и IMAP, и следователно потребителското име и паролата могат да бъдат прихванати само ако самият потребител се съгласи да приеме подправения сертификат.

За мобилни потребители винаги препоръчваме използването на приложения Mail.ru за достъп до поща, защото... работата с поща в тях е по-безопасна, отколкото в браузъри или вградени SMTP/IMAP клиенти.

Какво да направя

Необходимо е да актуализирате фърмуера на MikroTik RouterOS до защитена версия. Ако по някаква причина това не е възможно, е необходимо да филтрирате трафика на порт 8291 (tcp и udp), това ще усложни експлоатацията на проблема, въпреки че няма да елиминира възможността за пасивно инжектиране в DNS кеша. Интернет доставчиците трябва да филтрират този порт в своите мрежи, за да защитят корпоративните потребители. 

Всички потребители, които са приели заместен сертификат, трябва спешно да сменят паролата за имейл и други услуги, за които е приет този сертификат. От своя страна ние ще уведомим потребителите, които имат достъп до поща чрез уязвими устройства.

PS Има и свързана уязвимост, описана в публикацията ЛукаСафонов "Уязвимостта на Backport в RouterOS излага на риск стотици хиляди устройства".

Източник: www.habr.com