10. märtsi õhtul hakkas tugiteenus Mail.ru saama kasutajatelt kaebusi, et meiliprogrammide kaudu ei saa ühendust Mail.ru IMAP/SMTP serveritega. Samal ajal ei läinud mõned ühendused läbi ja mõned näitavad sertifikaadi viga. Tõrke on põhjustatud sellest, et "server" väljastab iseallkirjastatud TLS-sertifikaadi.
Kahe päeva jooksul saabus enam kui 10 kaebust erinevate võrkude ja mitmesuguste seadmetega kasutajatelt, mistõttu on ebatõenäoline, et probleem oli ühe teenusepakkuja võrgus. Probleemi üksikasjalikum analüüs näitas, et server imap.mail.ru (nagu ka muud meiliserverid ja -teenused) asendatakse DNS-i tasemel. Lisaks leidsime oma kasutajate aktiivse abiga, et põhjuseks oli nende ruuteri, mis on ühtlasi ka kohalik DNS-i lahendaja, vahemälus vale kirje, mis paljudel (kuid mitte kõigil) juhtudel osutus MikroTik. seade, väga populaarne väikestes ettevõtete võrkudes ja väikeste Interneti-teenuse pakkujate seas.
Milles on probleem
Septembris 2019 teadlased mitmeid MikroTik RouterOS-i turvaauke (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), mis võimaldasid DNS-i vahemälu mürgistusrünnakut, s.t. võimalus võltsida ruuteri DNS-vahemälus olevaid DNS-kirjeid ja CVE-2019-3978 võimaldab ründajal mitte oodata, kuni keegi sisevõrgust küsib tema DNS-serverisse kirjet, et mürgitada lahendaja vahemälu, vaid algatada selline päring ise läbi pordi 8291 (UDP ja TCP). MikroTik parandas haavatavuse RouterOS 6.45.7 (stabiilne) ja 6.44.6 (pikaajaline) versioonides 28. oktoobril 2019, kuid vastavalt Enamik kasutajaid pole praegu plaastreid installinud.
On ilmselge, et seda probleemi kasutatakse nüüd aktiivselt "otses".
Miks see ohtlik on?
Ründaja võib võltsida mis tahes hosti DNS-kirjet, millele kasutaja sisevõrgus juurde pääseb, püüdes sellega kinni liiklust. Kui tundlikku teavet edastatakse ilma krüptimiseta (näiteks üle http:// ilma TLS-ita) või kui kasutaja nõustub võltssertifikaadiga, saab ründaja hankida kõik ühenduse kaudu saadetavad andmed, näiteks sisselogimise või parooli. Kahjuks näitab praktika, et kui kasutajal on võimalus võltsitud sertifikaati aktsepteerida, kasutab ta seda ära.
Miks SMTP- ja IMAP-serverid ning mis kasutajaid päästis
Miks püüdsid ründajad kinni püüda meilirakenduste SMTP/IMAP-liiklust, mitte veebiliiklust, kuigi enamik kasutajaid pääseb oma kirjadele ligi HTTPS-brauseri kaudu?
Mitte kõik SMTP ja IMAP/POP3 kaudu töötavad meiliprogrammid ei kaitse kasutajat vigade eest, takistades tal sisselogimist ja parooli saatmast turvamata või ohustatud ühenduse kaudu, kuigi vastavalt standardile 2018. aastal vastu võetud (ja Mail.ru-s palju varem rakendatud), peavad nad kaitsma kasutajat parooli pealtkuulamise eest mis tahes turvamata ühenduse kaudu. Lisaks kasutatakse OAuth-protokolli meiliklientides väga harva (seda toetavad Mail.ru meiliserverid) ning ilma selleta edastatakse iga seansi jooksul sisselogimine ja parool.
Brauserid võivad olla veidi paremini kaitstud Man-in-the-Middle rünnakute eest. Kõigis mail.ru kriitilistes domeenides on lisaks HTTPS-ile lubatud ka HSTS (HTTP range transpordi turvalisus) poliitika. Kui HSTS on lubatud, ei anna kaasaegne brauser kasutajale lihtsat võimalust võltssertifikaati aktsepteerida, isegi kui kasutaja seda soovib. Lisaks HSTS-ile päästis kasutajaid see, et alates 2017. aastast keelavad Mail.ru SMTP, IMAP ja POP3 serverid paroolide edastamise üle turvamata ühenduse, kõik meie kasutajad kasutasid TLS-i juurdepääsuks SMTP, POP3 ja IMAP kaudu ning seetõttu saab sisselogimist ja parooli pealt kuulata ainult siis, kui kasutaja ise nõustub võltsitud sertifikaadiga.
Mobiilikasutajatele soovitame meilile juurdepääsuks alati kasutada rakendusi Mail.ru, sest... neis olevate kirjadega töötamine on turvalisem kui brauserites või sisseehitatud SMTP/IMAP-klientides.
Mida teha
MikroTik RouterOS-i püsivara on vaja värskendada turvalisele versioonile. Kui see mingil põhjusel pole võimalik, tuleb pordi 8291 (tcp ja udp) liiklust filtreerida, see raskendab probleemi ärakasutamist, kuigi see ei välista DNS-i vahemällu passiivse süstimise võimalust. Interneti-teenuse pakkujad peaksid ettevõtte kasutajate kaitsmiseks seda porti oma võrkudes filtreerima.
Kõik kasutajad, kes võtsid vastu asendussertifikaadi, peaksid kiiresti muutma e-posti ja muude teenuste parooli, mille jaoks see sertifikaat vastu võeti. Omalt poolt teavitame kasutajaid, kes pääsevad meilile haavatavate seadmete kaudu.
PS Samuti on postituses kirjeldatud haavatavus "".
Allikas: www.habr.com