Aktualisieren Sie RouterOS auf Ihrem MikroTik

Aktualisieren Sie RouterOS auf Ihrem MikroTik
Am Abend des 10. März erhielt der Support von Mail.ru Beschwerden von Nutzern über die Unmöglichkeit, sich über E-Mail-Programme mit den IMAP/SMTP-Servern von Mail.ru zu verbinden. Teilweise wurden Verbindungen nicht hergestellt, während andere ein Zertifikatfehler anzeigten. Der Fehler wurde durch ein selbstsigniertes TLS-Zertifikat des „Servers“ verursacht.
 
Aktualisieren Sie RouterOS auf Ihrem MikroTik
In zwei Tagen gingen mehr als 10 Beschwerden von Nutzern aus den unterschiedlichsten Netzwerken und mit den verschiedensten Geräten ein, was ein Problem bei einem einzelnen Provider unwahrscheinlich machte. Eine detaillierte Untersuchung des Problems ergab, dass der Server imap.mail.ru (sowie andere Mail-Server und -Dienste) auf DNS-Ebene manipuliert wurde. Mit aktiver Unterstützung unserer Nutzer fanden wir heraus, dass die Ursache in einer fehlerhaften Eintragung im Cache ihres Routers lag, der gleichzeitig als lokaler DNS-Resolver fungiert. In vielen (aber nicht allen) Fällen handelte es sich um Geräte von MikroTik, die in kleinen Unternehmensnetzwerken und bei kleinen Internetanbietern sehr beliebt sind.

Was ist das Problem?

Im September 2019 entdeckten Forscher fanden Mehrere Schwachstellen in MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), die einen DNS-Cache-Poisoning-Angriff ermöglichten, d.h. die Möglichkeit, DNS-Einträge im DNS-Cache des Routers zu manipulieren. Insbesondere ermöglicht CVE-2019-3978 dem Angreifer, den Cache-Resolver zu vergiften, ohne darauf warten zu müssen, dass jemand aus dem internen Netzwerk eine Anfrage an seinen DNS-Server stellt; stattdessen kann er eine solche Anfrage selbst über Port 8291 (UDP und TCP) initiieren. MikroTik hat die Schwachstelle in den Versionen RouterOS 6.45.7 (stable) und 6.44.6 (long-term) am 28. Oktober 2019 behoben, jedoch zeigen Studien dass die Mehrheit der Benutzer bisher keine Patches installiert hat.

Offensichtlich wird dieses Problem derzeit aktiv ausgenutzt.

Welche Gefahren damit verbunden sind

Ein Angreifer kann den DNS-Eintrag eines beliebigen Hosts, auf den ein Benutzer im internen Netzwerk zugreift, manipulieren und somit den Datenverkehr zu diesem Host abfangen. Wenn sensible Informationen ohne Verschlüsselung übertragen werden (z. B. über http:// ohne TLS) oder der Benutzer zustimmt, ein gefälschtes Zertifikat anzunehmen, kann der Angreifer alle Daten, die über die Verbindung gesendet werden, wie z. B. Anmeldedaten oder Passwörter, abfangen. Leider zeigt die Praxis, dass, wenn Benutzer die Möglichkeit haben, ein gefälschtes Zertifikat anzunehmen, sie dies oft tun.

Warum gerade SMTP- und IMAP-Server für die Benutzer wichtig sind

Warum Angreifer speziell versucht haben, den SMTP/IMAP-Datenverkehr von E-Mail-Anwendungen abzufangen, und nicht den Webdatenverkehr, obwohl der Großteil der Benutzer über Browser mit HTTPS auf ihre E-Mails zugreift?

Nicht alle E-Mail-Programme, die über SMTP und IMAP/POP3 arbeiten, schützen den Benutzer vor Fehlern, indem sie es ihm verwehren, Anmeldedaten über eine unsichere oder kompromittierte Verbindung zu senden, obwohl das Standardvorgaben vorsieht. RFC 8314, eingeführt bereits 2018 (und viel früher bei Mail.ru umgesetzt), sollen sie den Benutzer vor dem Abfangen des Passworts über jegliche ungesicherte Verbindung schützen. Darüber hinaus wird das OAuth-Protokoll in E-Mail-Clients sehr selten verwendet (es wird von den Mail.ru-E-Mail-Servern unterstützt), und ohne dies werden Login und Passwort in jeder Sitzung übermittelt.

Browser können etwas besser gegen Man-in-the-Middle-Angriffe geschützt sein. Auf allen kritischen Domains von mail.ru wurde zusätzlich zu HTTPS die HSTS-Richtlinie (HTTP Strict Transport Security) aktiviert. Bei aktiviertem HSTS gibt der moderne Browser dem Benutzer nicht die Möglichkeit, ein gefälschtes Zertifikat einfach zu akzeptieren, selbst wenn der Benutzer dies wünscht. Neben HSTS wurde die Sicherheit der Benutzer durch die seit 2017 geltende Regelung, dass die SMTP-, IMAP- und POP3-Server von Mail.ru die Übertragung von Passwörtern über ungesicherte Verbindungen verbieten, erhöht. Alle unsere Benutzer nutzen TLS für den Zugriff über SMTP, POP3 und IMAP, weshalb Login und Passwort nur abgefangen werden können, wenn der Benutzer selbst zustimmt, ein gefälschtes Zertifikat zu akzeptieren.

Für mobile Nutzer empfehlen wir immer, die Mail.ru-Apps zu verwenden, um auf E-Mails zuzugreifen, da die Nutzung in diesen sicherer ist als in Browsern oder integrierten SMTP/IMAP-Clients.

Was ist zu tun

Es ist notwendig, die Firmware des MikroTik RouterOS auf eine sichere Version zu aktualisieren. Falls dies aus irgendeinem Grund nicht möglich ist, sollte der Verkehr über den Port 8291 (tcp und udp) gefiltert werden. Dies erschwert zwar die Ausnutzung des Problems, beseitigt jedoch nicht die Möglichkeit einer passiven Injektion in den DNS-Cache. Internetanbieter sollten diesen Port in ihren Netzwerken filtern, um Geschäftskunden zu schützen. 

Alle Benutzer, die das manipulierte Zertifikat akzeptiert haben, sollten dringend das Passwort für ihre E-Mail und andere Dienste, für die dieses Zertifikat akzeptiert wurde, ändern. Von unserer Seite werden wir die Nutzer informieren, die auf ihre E-Mails über verwundbare Geräte zugreifen.

P.S. Es gibt noch eine verwandte Schwachstelle, die in einem Post beschrieben ist. LukaSafonov "Backport-Sicherheitsanfälligkeit in RouterOS gefährdet Hunderttausende von Geräten".

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster