Το βράδυ της 10ης Μαρτίου, η υπηρεσία υποστήριξης Mail.ru άρχισε να λαμβάνει παράπονα από χρήστες σχετικά με την αδυναμία σύνδεσης με διακομιστές IMAP/SMTP Mail.ru μέσω προγραμμάτων email. Ταυτόχρονα, ορισμένες συνδέσεις δεν ολοκληρώθηκαν και ορισμένες εμφανίζουν σφάλμα πιστοποιητικού. Το σφάλμα προκαλείται από τον "διακομιστή" που εκδίδει ένα αυτο-υπογεγραμμένο πιστοποιητικό TLS.
Σε δύο ημέρες, ήρθαν περισσότερα από 10 παράπονα από χρήστες σε διάφορα δίκτυα και με διάφορες συσκευές, καθιστώντας απίθανο το πρόβλημα να βρισκόταν στο δίκτυο κάποιου παρόχου. Μια πιο λεπτομερής ανάλυση του προβλήματος αποκάλυψε ότι ο διακομιστής imap.mail.ru (καθώς και άλλοι διακομιστές και υπηρεσίες αλληλογραφίας) αντικαθίστανται σε επίπεδο DNS. Περαιτέρω, με την ενεργή βοήθεια των χρηστών μας, διαπιστώσαμε ότι ο λόγος ήταν μια λανθασμένη καταχώριση στη μνήμη cache του δρομολογητή τους, ο οποίος είναι επίσης τοπικός αναλυτής DNS, και ο οποίος σε πολλές (αλλά όχι όλες) περιπτώσεις αποδείχθηκε ότι ήταν το MikroTik συσκευή, πολύ δημοφιλής σε μικρά εταιρικά δίκτυα και από μικρούς παρόχους Διαδικτύου.
Ποιο είναι το πρόβλημα
Τον Σεπτέμβριο του 2019, οι ερευνητές αρκετές ευπάθειες στο MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), οι οποίες επέτρεψαν μια επίθεση δηλητηρίασης προσωρινής μνήμης DNS, π.χ. η δυνατότητα πλαστογράφησης εγγραφών DNS στην κρυφή μνήμη DNS του δρομολογητή και το CVE-2019-3978 επιτρέπει στον εισβολέα να μην περιμένει κάποιον από το εσωτερικό δίκτυο να ζητήσει μια καταχώρηση στον διακομιστή DNS του για να δηλητηριάσει την κρυφή μνήμη του αναλυτή, αλλά να ξεκινήσει μια τέτοια ένα αίτημα ο ίδιος μέσω της θύρας 8291 (UDP και TCP). Η ευπάθεια επιδιορθώθηκε από τη MikroTik στις εκδόσεις του RouterOS 6.45.7 (σταθερό) και 6.44.6 (μακροπρόθεσμα) στις 28 Οκτωβρίου 2019, αλλά σύμφωνα με Οι περισσότεροι χρήστες δεν έχουν εγκαταστήσει επί του παρόντος ενημερώσεις κώδικα.
Είναι προφανές ότι αυτό το πρόβλημα τώρα αξιοποιείται ενεργά «ζωντανά».
Γιατί είναι επικίνδυνο
Ένας εισβολέας μπορεί να πλαστογραφήσει την εγγραφή DNS οποιουδήποτε κεντρικού υπολογιστή στον οποίο έχει πρόσβαση ένας χρήστης στο εσωτερικό δίκτυο, παρεμποδίζοντας έτσι την κυκλοφορία σε αυτόν. Εάν οι ευαίσθητες πληροφορίες μεταδοθούν χωρίς κρυπτογράφηση (για παράδειγμα, μέσω http:// χωρίς TLS) ή ο χρήστης συμφωνήσει να αποδεχτεί ένα ψεύτικο πιστοποιητικό, ο εισβολέας μπορεί να λάβει όλα τα δεδομένα που αποστέλλονται μέσω της σύνδεσης, όπως σύνδεση ή κωδικό πρόσβασης. Δυστυχώς, η πρακτική δείχνει ότι εάν ένας χρήστης έχει τη δυνατότητα να αποδεχθεί ένα πλαστό πιστοποιητικό, θα το εκμεταλλευτεί.
Γιατί οι διακομιστές SMTP και IMAP και τι έσωσε τους χρήστες
Γιατί οι εισβολείς προσπάθησαν να υποκλέψουν την κυκλοφορία SMTP/IMAP εφαρμογών email και όχι την κυκλοφορία ιστού, αν και οι περισσότεροι χρήστες έχουν πρόσβαση στην αλληλογραφία τους μέσω του προγράμματος περιήγησης HTTPS;
Δεν προστατεύουν όλα τα προγράμματα email που λειτουργούν μέσω SMTP και IMAP/POP3 τον χρήστη από σφάλματα, εμποδίζοντάς τον να στείλει στοιχεία σύνδεσης και κωδικό πρόσβασης μέσω μιας μη ασφαλούς ή παραβιασμένης σύνδεσης, αν και σύμφωνα με το πρότυπο , που υιοθετήθηκαν το 2018 (και εφαρμόστηκαν στο Mail.ru πολύ νωρίτερα), πρέπει να προστατεύουν τον χρήστη από υποκλοπή κωδικού πρόσβασης μέσω οποιασδήποτε μη ασφαλούς σύνδεσης. Επιπλέον, το πρωτόκολλο OAuth χρησιμοποιείται πολύ σπάνια σε προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου (υποστηρίζεται από διακομιστές αλληλογραφίας Mail.ru) και χωρίς αυτό, η σύνδεση και ο κωδικός πρόσβασης μεταδίδονται σε κάθε συνεδρία.
Τα προγράμματα περιήγησης ενδέχεται να προστατεύονται λίγο καλύτερα από επιθέσεις Man-in-the-Middle. Σε όλους τους κρίσιμους τομείς mail.ru, εκτός από το HTTPS, είναι ενεργοποιημένη η πολιτική HSTS (HTTP αυστηρή ασφάλεια μεταφοράς). Με ενεργοποιημένο το HSTS, ένα σύγχρονο πρόγραμμα περιήγησης δεν δίνει στον χρήστη εύκολη επιλογή να αποδεχτεί ένα ψεύτικο πιστοποιητικό, ακόμη κι αν ο χρήστης το θέλει. Εκτός από το HSTS, οι χρήστες σώθηκαν από το γεγονός ότι από το 2017, οι διακομιστές SMTP, IMAP και POP3 του Mail.ru απαγορεύουν τη μεταφορά κωδικών πρόσβασης μέσω μη ασφαλούς σύνδεσης, όλοι οι χρήστες μας χρησιμοποιούσαν το TLS για πρόσβαση μέσω SMTP, POP3 και IMAP και Επομένως, η σύνδεση και ο κωδικός πρόσβασης μπορούν να υποκλαπούν μόνο εάν ο ίδιος ο χρήστης συμφωνήσει να αποδεχτεί το πλαστό πιστοποιητικό.
Για χρήστες κινητών τηλεφώνων, συνιστούμε πάντα τη χρήση εφαρμογών Mail.ru για πρόσβαση στην αλληλογραφία, επειδή... Η εργασία με αλληλογραφία σε αυτά είναι πιο ασφαλής από ό,τι σε προγράμματα περιήγησης ή ενσωματωμένους πελάτες SMTP/IMAP.
Τι να κάνετε
Είναι απαραίτητο να ενημερώσετε το υλικολογισμικό MikroTik RouterOS σε ασφαλή έκδοση. Εάν για κάποιο λόγο αυτό δεν είναι δυνατό, είναι απαραίτητο να φιλτράρετε την κίνηση στη θύρα 8291 (tcp και udp), αυτό θα περιπλέξει την εκμετάλλευση του προβλήματος, αν και δεν θα εξαλείψει την πιθανότητα παθητικής έγχυσης στην κρυφή μνήμη DNS. Οι ISP θα πρέπει να φιλτράρουν αυτήν τη θύρα στα δίκτυά τους για να προστατεύουν τους εταιρικούς χρήστες.
Όλοι οι χρήστες που αποδέχθηκαν ένα αντικατασταθέν πιστοποιητικό θα πρέπει να αλλάξουν επειγόντως τον κωδικό πρόσβασης για το ηλεκτρονικό ταχυδρομείο και άλλες υπηρεσίες για τις οποίες έγινε αποδεκτό αυτό το πιστοποιητικό. Από την πλευρά μας, θα ειδοποιήσουμε τους χρήστες που έχουν πρόσβαση στην αλληλογραφία μέσω ευάλωτων συσκευών.
ΥΓ Υπάρχει επίσης μια σχετική ευπάθεια που περιγράφεται στην ανάρτηση "".
Πηγή: www.habr.com