در شب 10 مارس، سرویس پشتیبانی Mail.ru شروع به دریافت شکایات از کاربران در مورد عدم توانایی در اتصال به سرورهای Mail.ru IMAP/SMTP از طریق برنامه های ایمیل کرد. در همان زمان، برخی از اتصالات انجام نشد و برخی خطای گواهی را نشان می دهند. این خطا به دلیل صدور گواهینامه TLS خود امضا شده توسط "سرور" ایجاد می شود.
در طی دو روز، بیش از 10 شکایت از کاربران در شبکههای مختلف و دستگاههای مختلف وارد شد که بعید میدانست که مشکل در شبکه یک ارائهدهنده باشد. تجزیه و تحلیل دقیق تر مشکل نشان داد که سرور imap.mail.ru (و همچنین سایر سرورها و سرویس های ایمیل) در سطح DNS جایگزین می شود. علاوه بر این، با کمک فعال کاربرانمان، متوجه شدیم که دلیل آن یک ورودی نادرست در حافظه پنهان روتر آنها است، که همچنین یک حل کننده DNS محلی است، و در بسیاری از موارد (و نه همه) مشخص شد که MikroTik است. دستگاه، بسیار محبوب در شبکه های شرکت های کوچک و از ارائه دهندگان اینترنت کوچک است.
مشکل چیه
در سپتامبر 2019، محققان
بدیهی است که این مشکل اکنون به طور فعال "زنده" مورد سوء استفاده قرار می گیرد.
چرا خطرناک است؟
مهاجم میتواند رکورد DNS هر میزبانی را که کاربر در شبکه داخلی به آن دسترسی دارد جعل کند و در نتیجه ترافیک به آن را رهگیری کند. اگر اطلاعات حساس بدون رمزگذاری منتقل شود (مثلاً از طریق http:// بدون TLS) یا کاربر موافقت کند که گواهی جعلی را بپذیرد، مهاجم میتواند تمام دادههایی را که از طریق اتصال ارسال میشود، مانند ورود به سیستم یا رمز عبور، دریافت کند. متأسفانه، عمل نشان می دهد که اگر کاربر فرصت پذیرش گواهی جعلی را داشته باشد، از آن استفاده خواهد کرد.
چرا سرورهای SMTP و IMAP و چه چیزی باعث نجات کاربران شد
چرا مهاجمان سعی کردند ترافیک SMTP/IMAP برنامه های ایمیل را رهگیری کنند، نه ترافیک وب، اگرچه اکثر کاربران به ایمیل خود از طریق مرورگر HTTPS دسترسی دارند؟
همه برنامههای ایمیلی که از طریق SMTP و IMAP/POP3 کار میکنند، کاربر را در برابر خطاها محافظت نمیکنند و از ارسال لاگین و رمز عبور از طریق اتصال ناامن یا در معرض خطر جلوگیری میکنند، اگرچه طبق استاندارد
مرورگرها ممکن است کمی بهتر در برابر حملات Man-in-the-Middle محافظت شوند. در همه دامنههای مهم mail.ru، علاوه بر HTTPS، خطمشی HSTS (امنیت حمل و نقل سخت HTTP) فعال است. با فعال بودن HSTS، یک مرورگر مدرن گزینه آسانی برای پذیرش گواهی جعلی در اختیار کاربر قرار نمی دهد، حتی اگر کاربر بخواهد. علاوه بر HSTS، کاربران با این واقعیت نجات یافتند که از سال 2017، سرورهای SMTP، IMAP و POP3 Mail.ru انتقال رمزهای عبور از طریق یک اتصال ناامن را ممنوع میکنند، همه کاربران ما از TLS برای دسترسی از طریق SMTP، POP3 و IMAP استفاده میکنند. بنابراین ورود و رمز عبور تنها در صورتی می توانند رهگیری کنند که خود کاربر با پذیرش گواهی جعلی موافقت کند.
برای کاربران تلفن همراه، ما همیشه استفاده از برنامه های Mail.ru را برای دسترسی به ایمیل توصیه می کنیم، زیرا... کار با ایمیل در آنها ایمن تر از مرورگرها یا کلاینت های داخلی SMTP/IMAP است.
چه کاری باید بکنم
لازم است سیستم عامل MikroTik RouterOS را به نسخه ای امن به روز کنید. اگر به دلایلی این امکان پذیر نیست، لازم است ترافیک در پورت 8291 (tcp و udp) فیلتر شود، این کار بهره برداری از مشکل را پیچیده می کند، اگرچه امکان تزریق غیرفعال به حافظه پنهان DNS را از بین نمی برد. ISP ها باید این پورت را در شبکه های خود فیلتر کنند تا از کاربران شرکتی محافظت کنند.
همه کاربرانی که گواهی جایگزین را پذیرفته اند باید فورا رمز عبور ایمیل و سایر خدماتی را که این گواهی برای آنها پذیرفته شده است تغییر دهند. به نوبه خود، ما به کاربرانی که از طریق دستگاه های آسیب پذیر به ایمیل دسترسی دارند، اطلاع خواهیم داد.
PS یک آسیب پذیری مرتبط نیز در پست توضیح داده شده است
منبع: www.habr.com