Air feasgar 10 Màrt, thòisich seirbheis taic Mail.ru a ’faighinn gearanan bho luchd-cleachdaidh mu neo-chomas ceangal a dhèanamh ri frithealaichean Mail.ru IMAP/SMTP tro phrògraman post-d. Aig an aon àm, cha deach cuid de cheanglaichean troimhe, agus tha cuid a’ nochdadh mearachd teisteanais. Tha a' mhearachd air adhbharachadh leis gu bheil am "frithealaiche" a' cur a-mach teisteanas TLS le ainm fhèin.
Thairis air dà latha, thàinig barrachd air gearanan 10 a-steach bho luchd-cleachdaidh air measgachadh farsaing de lìonraidhean agus le measgachadh de dh ’innealan, ga fhàgail eu-coltach gun robh an duilgheadas ann an lìonra solaraiche sam bith. Nochd mion-sgrùdadh nas mionaidiche air an duilgheadas gu bheil an t-seirbheisiche imap.mail.ru (a bharrachd air frithealaichean puist agus seirbheisean eile) ga chuir na àite aig ìre DNS. A bharrachd air an sin, le cuideachadh gnìomhach bhon luchd-cleachdaidh againn, lorg sinn gur e an t-adhbhar inntrigeadh ceàrr ann an tasgadan an router aca, a tha cuideachd na fhuasgladh DNS ionadail, agus a thàinig gu bhith na MikroTik ann am mòran chùisean (ach chan e uile). inneal, mòr-chòrdte ann an lìonraidhean corporra beaga agus bho sholaraichean beaga eadar-lìn.
Dè an duilgheadas a th’ ann
San t-Sultain 2019, luchd-rannsachaidh grunn so-leòntachd ann am MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), a leig le ionnsaigh puinnseanachadh tasgadan DNS, i.e. an comas clàran DNS a spùtadh ann an tasgadan DNS an router, agus tha CVE-2019-3978 a’ leigeil leis an neach-ionnsaigh gun a bhith a’ feitheamh ri cuideigin bhon lìonra a-staigh gus inntrigeadh iarraidh air an t-seirbheisiche DNS aige gus an tasgadan fuasglaidh a phuinnseanachadh, ach an leithid a thòiseachadh iarrtas e fhèin tro phort 8291 (UDP agus TCP). Chaidh an so-leòntachd a shuidheachadh le MikroTik ann an dreachan de RouterOS 6.45.7 (seasmhach) agus 6.44.6 (fad-ùine) air 28 Dàmhair, 2019, ach a rèir Chan eil a’ mhòr-chuid de luchd-cleachdaidh air badan a chuir a-steach an-dràsta.
Tha e follaiseach gu bheilear a’ cleachdadh an duilgheadas seo gu gnìomhach “beò”.
Carson a tha e cunnartach
Faodaidh neach-ionnsaigh an clàr DNS de òstair sam bith a gheibh neach-cleachdaidh air an lìonra a-staigh a mhilleadh, agus mar sin a’ toirt a-steach trafaic thuige. Ma thèid fiosrachadh mothachail a chuir a-mach gun chrioptachadh (mar eisimpleir, thairis air http: // às aonais TLS) no ma dh’ aontaicheas an neach-cleachdaidh gabhail ri teisteanas meallta, gheibh an neach-ionnsaigh an dàta gu lèir a thèid a chuir tron cheangal, leithid logadh a-steach no facal-faire. Gu mì-fhortanach, tha cleachdadh a’ sealltainn ma tha cothrom aig neach-cleachdaidh gabhail ri teisteanas meallta, gun gabh e brath air.
Carson a tha frithealaichean SMTP agus IMAP, agus dè a shàbhail luchd-cleachdaidh
Carson a dh’ fheuch an luchd-ionnsaigh ri casg a chuir air trafaic SMTP/IMAP de thagraidhean post-d, agus chan e trafaic lìn, ged a gheibh a’ mhòr-chuid de luchd-cleachdaidh cothrom air a ’phost aca tro bhrobhsair HTTPS?
Chan eil a h-uile prògram post-d a tha ag obair tro SMTP agus IMAP / POP3 a’ dìon an neach-cleachdaidh bho mhearachdan, a’ cur casg air bho bhith a’ cur a-steach logadh a-steach agus facal-faire tro cheangal neo-thèarainte no cunnartach, ged a tha e a rèir na h-ìre àbhaisteach. , air a ghabhail air ais ann an 2018 (agus air a chuir an gnìomh ann am Mail.ru mòran na bu thràithe), feumaidh iad an neach-cleachdaidh a dhìon bho bhith a’ toirt a-steach facal-faire tro cheangal neo-thèarainte sam bith. A bharrachd air an sin, is ann ainneamh a thathas a ’cleachdadh protocol OAuth ann an teachdaichean post-d (tha e a’ faighinn taic bho luchd-frithealaidh puist Mail.ru), agus às aonais, bidh an logadh a-steach agus am facal-faire air an sgaoileadh anns gach seisean.
Is dòcha gum bi brobhsairean air an dìon beagan nas fheàrr an aghaidh ionnsaighean Man-in-the-Middle. Air gach raon èiginneach mail.ru, a bharrachd air HTTPS, tha poileasaidh tèarainteachd còmhdhail teann HSTS (HTTP) air a chomasachadh. Le HSTS air a chomasachadh, chan eil brobhsair ùr-nodha a’ toirt roghainn furasta don neach-cleachdaidh gabhail ri teisteanas meallta, eadhon ged a tha an neach-cleachdaidh ag iarraidh. A bharrachd air HSTS, chaidh luchd-cleachdaidh a shàbhaladh leis gu bheil luchd-frithealaidh 2017, SMTP, IMAP agus POP3 Mail.ru a’ toirmeasg gluasad faclan-faire thairis air ceangal neo-thèarainte, chleachd ar luchd-cleachdaidh gu lèir TLS airson faighinn a-steach tro SMTP, POP3 agus IMAP, agus mar sin chan urrainn logadh a-steach agus facal-faire a ghlacadh ach ma dh’ aontaicheas an neach-cleachdaidh fhèin gabhail ris an teisteanas spoofed.
Airson luchd-cleachdaidh gluasadach, bidh sinn an-còmhnaidh a’ moladh a bhith a’ cleachdadh thagraidhean Mail.ru gus faighinn gu post, oir tha ... tha obrachadh le post annta nas sàbhailte na ann am brobhsairean no teachdaichean SMTP/IMAP a tha air an togail a-steach.
Dè a nì thu
Feumar am firmware MikroTik RouterOS ùrachadh gu dreach tèarainte. Mura h-eil seo comasach airson adhbhar air choireigin, feumar trafaic a shìoladh air port 8291 (tcp agus udp), nì seo iom-fhillteachd air a bhith a’ gabhail brath air an duilgheadas, ged nach cuir e às don chomas air in-stealladh fulangach a-steach don tasgadan DNS. Bu chòir do ISPan am port seo a shìoladh air na lìonraidhean aca gus luchd-cleachdaidh corporra a dhìon.
Bu chòir don h-uile neach-cleachdaidh a ghabh ri teisteanas ionaid atharrachadh gu h-èiginneach am facal-faire airson post-d agus seirbheisean eile ris an deach gabhail ris an teisteanas seo. Airson ar pàirt, cuiridh sinn fios gu luchd-cleachdaidh a gheibh cothrom air post tro innealan so-leònte.
PS Tha cuideachd so-leòntachd co-cheangailte air a mhìneachadh san dreuchd "".
Source: www.habr.com