Tráthnóna 10 Márta, thosaigh seirbhís tacaíochta Mail.ru ag fáil gearáin ó úsáideoirí faoin neamhábaltacht chun ceangal le freastalaithe Mail.ru IMAP/SMTP trí chláir ríomhphoist. Ag an am céanna, níor chuaigh roinnt naisc tríd, agus léiríonn cuid acu earráid deimhnithe. Is é an "freastalaí" a d'eisigh teastas TLS féin-shínithe is cúis leis an earráid.
I gceann dhá lá, tháinig níos mó ná 10 ngearán isteach ó úsáideoirí ar líonraí éagsúla agus le gléasanna éagsúla, rud a fhágann nach dócha go raibh an fhadhb i líonra aon soláthraí amháin. Léirigh anailís níos mionsonraithe ar an bhfadhb go bhfuil an freastalaí imap.mail.ru (chomh maith le freastalaithe agus seirbhísí ríomhphoist eile) á n-ionad ag leibhéal DNS. Ina theannta sin, le cabhair ghníomhach ár n-úsáideoirí, fuaireamar amach gurb é an chúis a bhí leis ná iontráil mícheart i dtaisce a ródaire, ar réiteach áitiúil DNS é freisin, agus i go leor cásanna (ach ní i ngach cás) ba é MikroTik a bhí ann. gléas, a bhfuil an-tóir air i líonraí beaga corparáideacha agus ó sholáthraithe beaga Idirlín.
Cad é an fhadhb
I mí Mheán Fómhair 2019, taighdeoirí roinnt leochaileachtaí i MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), a cheadaigh ionsaí nimhiú taisce DNS, i.e. an cumas taifid DNS a spoof i dtaisce DNS an ródaire, agus ligeann CVE-2019-3978 don ionsaitheoir gan fanacht le duine ón líonra inmheánach chun iontráil a iarraidh ar a fhreastalaí DNS chun an taisce réititheora a nimhiú, ach a leithéid a thionscnamh iarratas é féin tríd an gcalafort 8291 (UDP agus TCP). Socraíodh an leochaileacht ag MikroTik i leaganacha de RouterOS 6.45.7 (cobhsaí) agus 6.44.6 (fadtéarmach) ar 28 Deireadh Fómhair, 2019, ach de réir Níl paistí suiteáilte ag formhór na n-úsáideoirí faoi láthair.
Is léir go bhfuil an fhadhb seo á saothrú go gníomhach anois “beo”.
Cén fáth go bhfuil sé contúirteach
Is féidir le hionsaitheoir taifead DNS ar aon óstaigh a bhfuil rochtain ag úsáideoir air ar an líonra inmheánach a mhilleadh, rud a idircheapadh trácht chuige. Má tharchuirtear faisnéis íogair gan chriptiú (mar shampla, thar http:// gan TLS) nó má aontaíonn an t-úsáideoir glacadh le teastas falsa, is féidir leis an ionsaitheoir na sonraí go léir a sheoltar tríd an nasc a fháil, mar shampla logáil isteach nó pasfhocal. Ar an drochuair, léiríonn cleachtas má tá deis ag úsáideoir glacadh le teastas falsa, bainfidh sé leas as.
Cén fáth ar fhreastalaithe SMTP agus IMAP, agus cad a shábháil úsáideoirí
Cén fáth go ndearna na hionsaitheoirí iarracht trácht SMTP/IMAP ar fheidhmchláir ríomhphoist a thascradh, agus ní trácht gréasáin, cé go bhfaigheann formhór na n-úsáideoirí rochtain ar a gcuid ríomhphoist trí bhrabhsálaí HTTPS?
Ní chosnaíonn gach ríomhchlár ríomhphoist a oibríonn trí SMTP agus IMAP/POP3 an t-úsáideoir ó earráidí, rud a chuireann cosc air logáil isteach agus pasfhocal a sheoladh trí nasc neamhurraithe nó comhréiteach, cé gur de réir an chaighdeáin , a glacadh ar ais i 2018 (agus curtha i bhfeidhm i Mail.ru i bhfad níos luaithe), ní mór dóibh an t-úsáideoir a chosaint ó thascradh phasfhocal trí aon nasc neamhurraithe. Ina theannta sin, is annamh a úsáidtear prótacal OAuth i gcliant ríomhphoist (tacaíonn freastalaithe ríomhphoist Mail.ru leis), agus gan é, tarchuirtear an logáil isteach agus an focal faire i ngach seisiún.
Seans go mbeidh brabhsálaithe beagán cosanta níos fearr i gcoinne ionsaithe Man-in-the-Middle. Ar gach fearann criticiúil mail.ru, chomh maith le HTTPS, cumasaítear beartas HSTS (slándáil iompair dhian HTTP). Le HSTS cumasaithe, ní thugann brabhsálaí nua-aimseartha rogha éasca don úsáideoir glacadh le teastas bréige, fiú más mian leis an úsáideoir é. Chomh maith le HSTS, sábháladh úsáideoirí toisc go gcuireann freastalaithe SMTP, IMAP agus POP2017 Mail.ru toirmeasc ar aistriú pasfhocail thar nasc neamhurraithe, gur bhain ár n-úsáideoirí go léir úsáid as TLS le haghaidh rochtana trí SMTP, POP3 agus IMAP, agus dá bhrí sin ní féidir logáil isteach agus pasfhocal a thascradh ach amháin má aontaíonn an t-úsáideoir é féin glacadh leis an deimhniú spoofed.
Maidir le húsáideoirí soghluaiste, molaimid i gcónaí feidhmchláir Mail.ru a úsáid chun rochtain a fháil ar ríomhphost, mar gheall ar ... tá sé níos sábháilte oibriú leis an bpost iontu ná mar a dhéantar i mbrabhsálaithe nó mar chliaint SMTP/IMAP ionsuite.
Cad atá le déanamh
Is gá an firmware MikroTik RouterOS a nuashonrú go leagan slán. Más rud é ar chúis éigin nach féidir é seo a dhéanamh, is gá an trácht a scagadh ar phort 8291 (tcp agus udp), déanfaidh sé seo casta ar shaothrú na faidhbe, cé nach gcuirfidh sé deireadh leis an bhféidearthacht go ndéanfaí instealladh éighníomhach isteach sa taisce DNS. Ba cheart do ISPanna an calafort seo a scagadh ar a líonraí chun úsáideoirí corparáideacha a chosaint.
Ba cheart do gach úsáideoir a ghlac le teastas ionadach an pasfhocal le haghaidh ríomhphoist agus seirbhísí eile ar glacadh leis an teastas seo a athrú go práinneach. Maidir lenár bpáirt féin, cuirfimid úsáideoirí a fhaigheann rochtain ar phost trí ghléasanna leochaileacha ar an eolas.
PS Tá cur síos ar leochaileacht ghaolmhar sa phost freisin "".
Foinse: will.com