Το βράδυ της 10ης Μαρτίου, η υπηρεσία υποστήριξης Mail.ru άρχισε να λαμβάνει παράπονα από χρήστες σχετικά με την αδυναμία σύνδεσης με διακομιστές IMAP/SMTP Mail.ru μέσω προγραμμάτων email. Ταυτόχρονα, ορισμένες συνδέσεις δεν ολοκληρώθηκαν και ορισμένες εμφανίζουν σφάλμα πιστοποιητικού. Το σφάλμα προκαλείται από τον "διακομιστή" που εκδίδει ένα αυτο-υπογεγραμμένο πιστοποιητικό TLS.
Σε δύο ημέρες, ήρθαν περισσότερα από 10 παράπονα από χρήστες σε διάφορα δίκτυα και με διάφορες συσκευές, καθιστώντας απίθανο το πρόβλημα να βρισκόταν στο δίκτυο κάποιου παρόχου. Μια πιο λεπτομερής ανάλυση του προβλήματος αποκάλυψε ότι ο διακομιστής imap.mail.ru (καθώς και άλλοι διακομιστές και υπηρεσίες αλληλογραφίας) αντικαθίστανται σε επίπεδο DNS. Περαιτέρω, με την ενεργή βοήθεια των χρηστών μας, διαπιστώσαμε ότι ο λόγος ήταν μια λανθασμένη καταχώριση στη μνήμη cache του δρομολογητή τους, ο οποίος είναι επίσης τοπικός αναλυτής DNS, και ο οποίος σε πολλές (αλλά όχι όλες) περιπτώσεις αποδείχθηκε ότι ήταν το MikroTik συσκευή, πολύ δημοφιλής σε μικρά εταιρικά δίκτυα και από μικρούς παρόχους Διαδικτύου.
Ποιο είναι το πρόβλημα
Τον Σεπτέμβριο του 2019, οι ερευνητές
Είναι προφανές ότι αυτό το πρόβλημα τώρα αξιοποιείται ενεργά «ζωντανά».
Γιατί είναι επικίνδυνο
Ένας εισβολέας μπορεί να πλαστογραφήσει την εγγραφή DNS οποιουδήποτε κεντρικού υπολογιστή στον οποίο έχει πρόσβαση ένας χρήστης στο εσωτερικό δίκτυο, παρεμποδίζοντας έτσι την κυκλοφορία σε αυτόν. Εάν οι ευαίσθητες πληροφορίες μεταδοθούν χωρίς κρυπτογράφηση (για παράδειγμα, μέσω http:// χωρίς TLS) ή ο χρήστης συμφωνήσει να αποδεχτεί ένα ψεύτικο πιστοποιητικό, ο εισβολέας μπορεί να λάβει όλα τα δεδομένα που αποστέλλονται μέσω της σύνδεσης, όπως σύνδεση ή κωδικό πρόσβασης. Δυστυχώς, η πρακτική δείχνει ότι εάν ένας χρήστης έχει τη δυνατότητα να αποδεχθεί ένα πλαστό πιστοποιητικό, θα το εκμεταλλευτεί.
Γιατί οι διακομιστές SMTP και IMAP και τι έσωσε τους χρήστες
Γιατί οι εισβολείς προσπάθησαν να υποκλέψουν την κυκλοφορία SMTP/IMAP εφαρμογών email και όχι την κυκλοφορία ιστού, αν και οι περισσότεροι χρήστες έχουν πρόσβαση στην αλληλογραφία τους μέσω του προγράμματος περιήγησης HTTPS;
Δεν προστατεύουν όλα τα προγράμματα email που λειτουργούν μέσω SMTP και IMAP/POP3 τον χρήστη από σφάλματα, εμποδίζοντάς τον να στείλει στοιχεία σύνδεσης και κωδικό πρόσβασης μέσω μιας μη ασφαλούς ή παραβιασμένης σύνδεσης, αν και σύμφωνα με το πρότυπο
Τα προγράμματα περιήγησης ενδέχεται να προστατεύονται λίγο καλύτερα από επιθέσεις Man-in-the-Middle. Σε όλους τους κρίσιμους τομείς mail.ru, εκτός από το HTTPS, είναι ενεργοποιημένη η πολιτική HSTS (HTTP αυστηρή ασφάλεια μεταφοράς). Με ενεργοποιημένο το HSTS, ένα σύγχρονο πρόγραμμα περιήγησης δεν δίνει στον χρήστη εύκολη επιλογή να αποδεχτεί ένα ψεύτικο πιστοποιητικό, ακόμη κι αν ο χρήστης το θέλει. Εκτός από το HSTS, οι χρήστες σώθηκαν από το γεγονός ότι από το 2017, οι διακομιστές SMTP, IMAP και POP3 του Mail.ru απαγορεύουν τη μεταφορά κωδικών πρόσβασης μέσω μη ασφαλούς σύνδεσης, όλοι οι χρήστες μας χρησιμοποιούσαν το TLS για πρόσβαση μέσω SMTP, POP3 και IMAP και Επομένως, η σύνδεση και ο κωδικός πρόσβασης μπορούν να υποκλαπούν μόνο εάν ο ίδιος ο χρήστης συμφωνήσει να αποδεχτεί το πλαστό πιστοποιητικό.
Για χρήστες κινητών τηλεφώνων, συνιστούμε πάντα τη χρήση εφαρμογών Mail.ru για πρόσβαση στην αλληλογραφία, επειδή... Η εργασία με αλληλογραφία σε αυτά είναι πιο ασφαλής από ό,τι σε προγράμματα περιήγησης ή ενσωματωμένους πελάτες SMTP/IMAP.
Τι να κάνετε
Είναι απαραίτητο να ενημερώσετε το υλικολογισμικό MikroTik RouterOS σε ασφαλή έκδοση. Εάν για κάποιο λόγο αυτό δεν είναι δυνατό, είναι απαραίτητο να φιλτράρετε την κίνηση στη θύρα 8291 (tcp και udp), αυτό θα περιπλέξει την εκμετάλλευση του προβλήματος, αν και δεν θα εξαλείψει την πιθανότητα παθητικής έγχυσης στην κρυφή μνήμη DNS. Οι ISP θα πρέπει να φιλτράρουν αυτήν τη θύρα στα δίκτυά τους για να προστατεύουν τους εταιρικούς χρήστες.
Όλοι οι χρήστες που αποδέχθηκαν ένα αντικατασταθέν πιστοποιητικό θα πρέπει να αλλάξουν επειγόντως τον κωδικό πρόσβασης για το ηλεκτρονικό ταχυδρομείο και άλλες υπηρεσίες για τις οποίες έγινε αποδεκτό αυτό το πιστοποιητικό. Από την πλευρά μας, θα ειδοποιήσουμε τους χρήστες που έχουν πρόσβαση στην αλληλογραφία μέσω ευάλωτων συσκευών.
ΥΓ Υπάρχει επίσης μια σχετική ευπάθεια που περιγράφεται στην ανάρτηση
Πηγή: www.habr.com