Sa gabii sa Marso 10, ang serbisyo sa suporta sa Mail.ru nagsugod sa pagdawat mga reklamo gikan sa mga tiggamit bahin sa kawalay katakus sa pagkonektar sa Mail.ru IMAP/SMTP server pinaagi sa mga programa sa email. Sa samang higayon, ang pipila ka mga koneksyon wala moagi, ug ang uban nagpakita sa usa ka sayup nga sertipiko. Ang sayop kay tungod sa "server" nga nag-isyu ug self-signed TLS certificate.
Kapin sa duha ka adlaw, labaw pa sa 10 ka mga reklamo ang miabot gikan sa mga tiggamit sa usa ka halapad nga lainlain nga mga network ug uban ang lainlaing mga aparato, nga naghimo nga dili mahimo nga ang problema naa sa network sa bisan kinsa nga tighatag. Ang usa ka mas detalyado nga pag-analisar sa problema nagpadayag nga ang imap.mail.ru server (ingon man ang uban nga mga mail server ug serbisyo) gipulihan sa lebel sa DNS. Dugang pa, sa aktibo nga tabang sa among mga tiggamit, nahibal-an namon nga ang hinungdan usa ka sayup nga pagsulod sa cache sa ilang router, nga usa usab ka lokal nga solusyon sa DNS, ug nga sa daghang (apan dili tanan) nga mga kaso nahimo nga MikroTik device, popular kaayo sa gagmayng corporate networks ug gikan sa gagmayng Internet providers.
Unsay problema
Niadtong Septiyembre 2019, ang mga tigdukiduki daghang mga kahuyangan sa MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), nga nagtugot sa DNS cache poisoning attack, i.e. ang abilidad sa pagpanglimbong sa mga rekord sa DNS sa DNS cache sa router, ug ang CVE-2019-3978 nagtugot sa tig-atake nga dili maghulat alang sa usa ka tawo gikan sa internal nga network nga mohangyo og entry sa iyang DNS server aron makahilo sa solver cache, apan sa pagsugod sa ingon usa ka hangyo sa iyang kaugalingon pinaagi sa port 8291 (UDP ug TCP). Ang pagkahuyang giayo sa MikroTik sa mga bersyon sa RouterOS 6.45.7 (stable) ug 6.44.6 (long-term) kaniadtong Oktubre 28, 2019, apan sumala sa Kadaghanan sa mga tiggamit wala pa naka-install karon nga mga patch.
Dayag nga kini nga problema karon aktibo nga gipahimuslan "buhi".
Nganong delikado man?
Ang usa ka tig-atake mahimong makalimbong sa DNS record sa bisan unsang host nga na-access sa usa ka user sa internal nga network, sa ingon makapugong sa trapiko niini. Kung ang sensitibo nga impormasyon gipasa nga walay encryption (pananglitan, sa http:// nga walay TLS) o ang user miuyon sa pagdawat og peke nga sertipiko, ang tig-atake makakuha sa tanang data nga gipadala pinaagi sa koneksyon, sama sa login o password. Ikasubo, gipakita sa praktis nga kung ang usa ka tiggamit adunay higayon nga makadawat usa ka peke nga sertipiko, pahimuslan niya kini.
Ngano nga SMTP ug IMAP server, ug unsa ang nagluwas sa mga tiggamit
Ngano nga ang mga tig-atake misulay sa pag-intercept sa SMTP/IMAP nga trapiko sa mga aplikasyon sa email, ug dili sa trapiko sa web, bisan kung kadaghanan sa mga tiggamit nag-access sa ilang mail pinaagi sa HTTPS browser?
Dili tanan nga mga programa sa email nga nagtrabaho pinaagi sa SMTP ug IMAP/POP3 nanalipod sa tiggamit gikan sa mga sayup, nga nagpugong kaniya sa pagpadala sa pag-login ug password pinaagi sa usa ka dili sigurado o nakompromiso nga koneksyon, bisan kung sumala sa sumbanan , gisagop balik sa 2018 (ug gipatuman sa Mail.ru sa sayo pa), kinahanglan nila nga panalipdan ang tiggamit gikan sa interception sa password pinaagi sa bisan unsang unsecured connection. Dugang pa, ang OAuth protocol panagsa ra nga gigamit sa mga email client (kini gisuportahan sa Mail.ru mail servers), ug kung wala kini, ang login ug password gipasa sa matag sesyon.
Ang mga browser mahimo nga labi ka maayo nga mapanalipdan batok sa mga pag-atake sa Man-in-the-Middle. Sa tanan nga mail.ru kritikal nga mga dominyo, dugang sa HTTPS, ang HSTS (HTTP estrikto nga transport security) nga polisiya gipalihok. Sa pagpaandar sa HSTS, ang modernong browser wala maghatag sa user ug sayon ββnga kapilian sa pagdawat sa peke nga sertipiko, bisan kon gusto sa user. Dugang pa sa HSTS, ang mga tiggamit naluwas sa kamatuoran nga sukad sa 2017, SMTP, IMAP ug POP3 server sa Mail.ru nagdili sa pagbalhin sa mga password sa usa ka unsecured koneksyon, ang tanan sa atong mga tiggamit migamit TLS alang sa access pinaagi sa SMTP, POP3 ug IMAP, ug busa ang pag-login ug ang password mahimong makapugong lamang kung ang tiggamit mismo mouyon sa pagdawat sa gi-spoof nga sertipiko.
Alang sa mga tiggamit sa mobile, kanunay namon nga girekomenda ang paggamit sa mga aplikasyon sa Mail.ru aron ma-access ang mail, tungod kay... Ang pagtrabaho sa mail sa kanila mas luwas kaysa sa mga browser o built-in nga SMTP/IMAP nga mga kliyente.
Unsa ang angay buhaton
Kinahanglan nga i-update ang firmware sa MikroTik RouterOS sa usa ka luwas nga bersyon. Kung sa usa ka hinungdan dili kini mahimo, kinahanglan nga i-filter ang trapiko sa port 8291 (tcp ug udp), kini makapakomplikado sa pagpahimulos sa problema, bisan kung dili kini magwagtang sa posibilidad sa passive injection sa DNS cache. Ang mga ISP kinahanglan nga magsala niini nga pantalan sa ilang mga network aron mapanalipdan ang mga tiggamit sa korporasyon.
Ang tanan nga mga tiggamit nga midawat sa usa ka gipuli nga sertipiko kinahanglan nga dinalian nga usbon ang password alang sa email ug uban pang mga serbisyo diin kini nga sertipiko gidawat. Sa among bahin, among ipahibalo ang mga tiggamit nga nag-access sa mail pinaagi sa mga huyang nga aparato.
PS Adunay usab usa ka may kalabutan nga kahuyangan nga gihulagway sa post "".
Source: www.habr.com