ProHoster > وبلاگ > اداره > RouterOS را در MikroTik خود به روز کنید

RouterOS را در MikroTik خود به روز کنید

RouterOS را در MikroTik خود به روز کنید
در شب 10 مارس، سرویس پشتیبانی Mail.ru شروع به دریافت شکایات از کاربران در مورد عدم توانایی در اتصال به سرورهای Mail.ru IMAP/SMTP از طریق برنامه های ایمیل کرد. در همان زمان، برخی از اتصالات انجام نشد و برخی خطای گواهی را نشان می دهند. این خطا به دلیل صدور گواهینامه TLS خود امضا شده توسط "سرور" ایجاد می شود.
 
RouterOS را در MikroTik خود به روز کنید
در طی دو روز، بیش از 10 شکایت از کاربران در شبکه‌های مختلف و دستگاه‌های مختلف وارد شد که بعید می‌دانست که مشکل در شبکه یک ارائه‌دهنده باشد. تجزیه و تحلیل دقیق تر مشکل نشان داد که سرور imap.mail.ru (و همچنین سایر سرورها و سرویس های ایمیل) در سطح DNS جایگزین می شود. علاوه بر این، با کمک فعال کاربرانمان، متوجه شدیم که دلیل آن یک ورودی نادرست در حافظه پنهان روتر آنها است، که همچنین یک حل کننده DNS محلی است، و در بسیاری از موارد (و نه همه) مشخص شد که MikroTik است. دستگاه، بسیار محبوب در شبکه های شرکت های کوچک و از ارائه دهندگان اینترنت کوچک است.

مشکل چیه

در سپتامبر 2019، محققان یافت چندین آسیب‌پذیری در MikroTik RouterOS (CVE-2019-3976، CVE-2019-3977، CVE-2019-3978، CVE-2019-3979)، که اجازه حمله مسمومیت به حافظه پنهان DNS را می‌داد، به عنوان مثال. توانایی جعل سوابق DNS در کش DNS روتر، و CVE-2019-3978 به مهاجم اجازه می دهد تا منتظر کسی از شبکه داخلی نباشد تا برای مسموم کردن حافظه پنهان حل کننده، درخواست ورود به سرور DNS خود را داشته باشد، بلکه چنین کاری را آغاز کند. درخواست خود را از طریق پورت 8291 (UDP و TCP). این آسیب‌پذیری توسط MikroTik در نسخه‌های RouterOS 6.45.7 (پایدار) و 6.44.6 (طولانی مدت) در 28 اکتبر 2019 برطرف شد، اما با توجه به پژوهش اکثر کاربران در حال حاضر پچ ها را نصب نکرده اند.

بدیهی است که این مشکل اکنون به طور فعال "زنده" مورد سوء استفاده قرار می گیرد.

چرا خطرناک است؟

مهاجم می‌تواند رکورد DNS هر میزبانی را که کاربر در شبکه داخلی به آن دسترسی دارد جعل کند و در نتیجه ترافیک به آن را رهگیری کند. اگر اطلاعات حساس بدون رمزگذاری منتقل شود (مثلاً از طریق http:// بدون TLS) یا کاربر موافقت کند که گواهی جعلی را بپذیرد، مهاجم می‌تواند تمام داده‌هایی را که از طریق اتصال ارسال می‌شود، مانند ورود به سیستم یا رمز عبور، دریافت کند. متأسفانه، عمل نشان می دهد که اگر کاربر فرصت پذیرش گواهی جعلی را داشته باشد، از آن استفاده خواهد کرد.

چرا سرورهای SMTP و IMAP و چه چیزی باعث نجات کاربران شد

چرا مهاجمان سعی کردند ترافیک SMTP/IMAP برنامه های ایمیل را رهگیری کنند، نه ترافیک وب، اگرچه اکثر کاربران به ایمیل خود از طریق مرورگر HTTPS دسترسی دارند؟

همه برنامه‌های ایمیلی که از طریق SMTP و IMAP/POP3 کار می‌کنند، کاربر را در برابر خطاها محافظت نمی‌کنند و از ارسال لاگین و رمز عبور از طریق اتصال ناامن یا در معرض خطر جلوگیری می‌کنند، اگرچه طبق استاندارد RFC 8314، که در سال 2018 تصویب شد (و خیلی زودتر در Mail.ru پیاده سازی شد)، آنها باید از کاربر در برابر رهگیری رمز عبور از طریق هرگونه اتصال ناامن محافظت کنند. علاوه بر این، پروتکل OAuth به ندرت در کلاینت های ایمیل استفاده می شود (این توسط سرورهای ایمیل Mail.ru پشتیبانی می شود) و بدون آن، ورود و رمز عبور در هر جلسه ارسال می شود.

مرورگرها ممکن است کمی بهتر در برابر حملات Man-in-the-Middle محافظت شوند. در همه دامنه‌های مهم mail.ru، علاوه بر HTTPS، خط‌مشی HSTS (امنیت حمل و نقل سخت HTTP) فعال است. با فعال بودن HSTS، یک مرورگر مدرن گزینه آسانی برای پذیرش گواهی جعلی در اختیار کاربر قرار نمی دهد، حتی اگر کاربر بخواهد. علاوه بر HSTS، کاربران با این واقعیت نجات یافتند که از سال 2017، سرورهای SMTP، IMAP و POP3 Mail.ru انتقال رمزهای عبور از طریق یک اتصال ناامن را ممنوع می‌کنند، همه کاربران ما از TLS برای دسترسی از طریق SMTP، POP3 و IMAP استفاده می‌کنند. بنابراین ورود و رمز عبور تنها در صورتی می توانند رهگیری کنند که خود کاربر با پذیرش گواهی جعلی موافقت کند.

برای کاربران تلفن همراه، ما همیشه استفاده از برنامه های Mail.ru را برای دسترسی به ایمیل توصیه می کنیم، زیرا... کار با ایمیل در آنها ایمن تر از مرورگرها یا کلاینت های داخلی SMTP/IMAP است.

چه کاری باید بکنم

لازم است سیستم عامل MikroTik RouterOS را به نسخه ای امن به روز کنید. اگر به دلایلی این امکان پذیر نیست، لازم است ترافیک در پورت 8291 (tcp و udp) فیلتر شود، این کار بهره برداری از مشکل را پیچیده می کند، اگرچه امکان تزریق غیرفعال به حافظه پنهان DNS را از بین نمی برد. ISP ها باید این پورت را در شبکه های خود فیلتر کنند تا از کاربران شرکتی محافظت کنند. 

همه کاربرانی که گواهی جایگزین را پذیرفته اند باید فورا رمز عبور ایمیل و سایر خدماتی را که این گواهی برای آنها پذیرفته شده است تغییر دهند. به نوبه خود، ما به کاربرانی که از طریق دستگاه های آسیب پذیر به ایمیل دسترسی دارند، اطلاع خواهیم داد.

PS یک آسیب پذیری مرتبط نیز در پست توضیح داده شده است لوکا سافونوف "آسیب پذیری Backport در RouterOS صدها هزار دستگاه را در معرض خطر قرار می دهد".

منبع: www.habr.com

اضافه کردن نظر