Maaliskuun 10. päivän illalla Mail.ru-tukipalvelu alkoi saada käyttäjiltä valituksia siitä, ettei sähköpostiohjelmien kautta pystytty muodostamaan yhteyttä Mail.ru IMAP/SMTP -palvelimiin. Samaan aikaan jotkut yhteydet eivät menneet läpi, ja joissakin näkyy varmennevirhe. Virhe johtuu siitä, että "palvelin" myöntää itseallekirjoitetun TLS-varmenteen.
Kahdessa päivässä yli 10 valitusta tuli käyttäjiltä useissa verkoissa ja eri laitteissa, joten oli epätodennäköistä, että ongelma olisi yhden palveluntarjoajan verkossa. Ongelman tarkempi analyysi paljasti, että imap.mail.ru-palvelin (samoin kuin muut sähköpostipalvelimet ja palvelut) korvataan DNS-tasolla. Lisäksi havaitsimme käyttäjiemme aktiivisella avustuksella, että syynä oli virheellinen merkintä heidän reitittimensä välimuistissa, joka on myös paikallinen DNS-selvittäjä ja joka monissa (mutta ei kaikissa) tapauksissa osoittautui MikroTikiksi. laite, erittäin suosittu pienten yritysten verkoissa ja pienten Internet-palveluntarjoajien keskuudessa.
Mikä on ongelma?
Syyskuussa 2019 tutkijat useita MikroTik RouterOS:n haavoittuvuuksia (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), jotka mahdollistivat DNS-välimuistin myrkytyshyökkäyksen, ts. kyky huijata DNS-tietueita reitittimen DNS-välimuistissa, ja CVE-2019-3978 sallii hyökkääjän olla odottamatta, että joku sisäisestä verkosta pyytää merkintää DNS-palvelimelleen myrkyttääkseen ratkaisejan välimuistin, vaan aloittaa tällaisen itse pyynnön portin 8291 kautta (UDP ja TCP). MikroTik korjasi haavoittuvuuden RouterOS 6.45.7 (vakaa) ja 6.44.6 (pitkäaikainen) versioissa 28, mutta Useimmat käyttäjät eivät ole tällä hetkellä asentaneet korjaustiedostoja.
On ilmeistä, että tätä ongelmaa hyödynnetään nyt aktiivisesti "livenä".
Miksi se on vaarallista
Hyökkääjä voi huijata minkä tahansa käyttäjän sisäisessä verkossa käyttämän isännän DNS-tietueen ja siepata siten liikennettä siihen. Jos arkaluonteisia tietoja lähetetään ilman salausta (esimerkiksi http:// ilman TLS:ää) tai käyttäjä suostuu hyväksymään väärennetyn varmenteen, hyökkääjä voi saada kaikki yhteyden kautta lähetetyt tiedot, kuten kirjautumistunnuksen tai salasanan. Valitettavasti käytäntö osoittaa, että jos käyttäjällä on mahdollisuus hyväksyä väärennetty varmenne, hän käyttää sitä hyväkseen.
Miksi SMTP- ja IMAP-palvelimet ja mikä pelasti käyttäjiä
Miksi hyökkääjät yrittivät siepata sähköpostisovellusten SMTP/IMAP-liikennettä, eivät verkkoliikennettä, vaikka useimmat käyttäjät käyttävät sähköpostiaan HTTPS-selaimen kautta?
Kaikki SMTP:n ja IMAP/POP3:n kautta toimivat sähköpostiohjelmat eivät suojaa käyttäjää virheiltä, estäen häntä lähettämästä kirjautumistunnusta ja salasanaa suojaamattoman tai vaarantuneen yhteyden kautta, vaikka standardin mukaan , otettiin käyttöön jo vuonna 2018 (ja otettiin käyttöön Mail.russa paljon aikaisemmin), niiden on suojattava käyttäjää salasanan sieppaamiselta suojaamattoman yhteyden kautta. Lisäksi OAuth-protokollaa käytetään erittäin harvoin sähköpostiohjelmissa (Mail.ru-postipalvelimet tukevat sitä), ja ilman sitä kirjautumistunnus ja salasana lähetetään jokaisessa istunnossa.
Selaimet voivat olla hieman paremmin suojattu Man-in-the-Middle-hyökkäyksiltä. Kaikissa kriittisissä mail.ru-verkkotunnuksissa on HTTPS:n lisäksi käytössä HSTS (HTTP range transport security) -käytäntö. Kun HSTS on käytössä, nykyaikainen selain ei anna käyttäjälle helppoa mahdollisuutta hyväksyä väärennettyä varmennetta, vaikka käyttäjä niin haluaisi. HSTS:n lisäksi käyttäjiä pelasti se, että vuodesta 2017 lähtien Mail.ru:n SMTP-, IMAP- ja POP3-palvelimet ovat kieltäneet salasanojen siirtämisen suojaamattoman yhteyden kautta, kaikki käyttäjämme käyttivät TLS:ää pääsyyn SMTP:n, POP3:n ja IMAP:n kautta. siksi kirjautuminen ja salasana voivat siepata vain, jos käyttäjä itse suostuu hyväksymään väärennetyn varmenteen.
Mobiilikäyttäjille suosittelemme aina käyttämään Mail.ru-sovelluksia sähköpostin käyttämiseen, koska... postin käsittely niissä on turvallisempaa kuin selaimissa tai sisäänrakennetuissa SMTP/IMAP-asiakkaissa.
Mitä tehdä
MikroTik RouterOS -laiteohjelmisto on päivitettävä suojattuun versioon. Jos tämä ei jostain syystä ole mahdollista, on tarpeen suodattaa liikenne portissa 8291 (tcp ja udp), tämä vaikeuttaa ongelman hyödyntämistä, vaikka se ei poista mahdollisuutta passiiviseen injektioon DNS-välimuistiin. Internet-palveluntarjoajien tulee suodattaa tämä portti verkoissaan suojellakseen yrityskäyttäjiä.
Kaikkien käyttäjien, jotka hyväksyivät korvatun varmenteen, tulee vaihtaa nopeasti sähköpostin ja muiden palveluiden salasana, joille tämä varmenne hyväksyttiin. Omalta osaltamme ilmoitamme käyttäjille, jotka käyttävät sähköpostia haavoittuvien laitteiden kautta.
PS Viestissä on myös kuvattu haavoittuvuus "".
Lähde: will.com