Ma ke ahiahi o Malaki 10, ua hoʻomaka ka lawelawe kākoʻo Mail.ru i nā hoʻopiʻi mai nā mea hoʻohana e pili ana i ka hiki ʻole ke hoʻopili i nā kikowaena Mail.ru IMAP/SMTP ma o nā polokalamu leka uila. I ka manawa like, ʻaʻole i hele kekahi mau pilina, a hōʻike kekahi i kahi hewa palapala. Hoʻokumu ʻia ka hewa e ka "server" e hoʻopuka ana i kahi palapala hōʻoia TLS i kau inoa ponoʻī.
I loko o ʻelua mau lā, ʻoi aku ka nui o nā hoʻopiʻi 10 mai nā mea hoʻohana ma nā ʻano pūnaewele like ʻole a me nā ʻano mea like ʻole, ʻaʻole hiki ke pilikia i ka pūnaewele o kekahi mea hoʻolako. Ua hōʻike ʻia kahi kikoʻī kikoʻī o ka pilikia e hoʻololi ʻia ka server imap.mail.ru (a me nā kikowaena leka uila a me nā lawelawe ʻē aʻe) ma ka pae DNS. Eia kekahi, me ke kōkua ikaika o kā mākou mea hoʻohana, ʻike mākou ʻo ke kumu he komo hewa ʻole i ka cache o kā lākou router, ʻo ia hoʻi kahi hoʻonā DNS kūloko, a ʻo ia hoʻi i nā hihia he nui (akā ʻaʻole nā mea āpau) ʻo MikroTik. mea, kaulana loa i nā pūnaewele hui liʻiliʻi a mai nā mea hoʻolako pūnaewele liʻiliʻi.
He aha ka pilikia
I Kepakemapa 2019, nā mea noiʻi kekahi mau mea palupalu i MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), ka mea i ʻae i ka hoʻouka kaua ʻana i ka cache DNS, ʻo ia. ʻO ka hiki ke hoʻopunipuni i nā moʻolelo DNS i ka huna huna DNS o ka router, a ʻo CVE-2019-3978 e ʻae i ka mea hoʻouka ʻaʻole e kali i kekahi mai ka pūnaewele kūloko e noi i kahi komo ma kāna kikowaena DNS i mea e ʻona ai i ka cache solver, akā e hoʻomaka i kēlā. he noi iā ia iho ma o ke awa 8291 (UDP a me TCP). Ua hoʻopaʻa ʻia ka vulnerability e MikroTik i nā mana o RouterOS 6.45.7 (stable) a me 6.44.6 (lōʻihi) ma ʻOkakopa 28, 2019, akā e like me ka ʻAʻole i hoʻokomo ka hapa nui o nā mea hoʻohana i nā pā.
ʻIke ʻia ke hoʻohana ikaika ʻia nei kēia pilikia "ola".
No ke aha he mea weliweli
Hiki i ka mea hoʻouka ke hoʻopunipuni i ka moʻolelo DNS o kekahi mea hoʻokipa i loaʻa e ka mea hoʻohana ma ka pūnaewele kūloko, a laila e hoʻopaʻa i ke kaʻa iā ia. Inā hoʻouna ʻia ka ʻike koʻikoʻi me ka hoʻopili ʻole ʻia (e laʻana, ma luna o http:// me ka ʻole o TLS) a i ʻole ka mea hoʻohana e ʻae i kahi palapala hoʻopunipuni, hiki i ka mea hoʻouka ke loaʻa i nā ʻikepili āpau i hoʻouna ʻia ma o ka pilina, e like me ka login a i ʻole ka ʻōlelo huna. ʻO ka mea pōʻino, hōʻike ka hoʻomaʻamaʻa inā loaʻa i kahi mea hoʻohana ka manawa e ʻae i kahi palapala hoʻopunipuni, e hoʻohana ʻo ia iā ia.
No ke aha nā kikowaena SMTP a me IMAP, a me nā mea i mālama i nā mea hoʻohana
No ke aha i hoʻāʻo ai ka poʻe hoʻouka kaua e hoʻopaʻa i ka hele ʻana o SMTP/IMAP o nā noi leka uila, ʻaʻole ka lele pūnaewele, ʻoiai ka hapa nui o nā mea hoʻohana e komo i kā lākou leka uila ma o ka polokalamu kele HTTPS?
ʻAʻole nā polokalamu leka uila a pau e hana ana ma SMTP a me IMAP/POP3 e pale i ka mea hoʻohana mai nā hewa, e pale ana iā ia mai ka hoʻouna ʻana i ka inoa inoa a me ka ʻōlelo huna ma o kahi pilina paʻa ʻole a hoʻopaʻa ʻia paha, ʻoiai e like me ka maʻamau , i hoʻopaʻa ʻia i ka makahiki 2018 (a hoʻokō ʻia ma Mail.ru ma mua loa), pono lākou e pale i ka mea hoʻohana mai ka hoʻopili ʻana i ka ʻōlelo huna ma o ka pilina paʻa ʻole. Eia kekahi, ʻaʻole loa e hoʻohana ʻia ka protocol OAuth i nā mea kūʻai leka uila (kākoʻo ʻia e nā kikowaena leka uila Mail.ru), a me ka ʻole o ia mea, hoʻouna ʻia ka inoa inoa a me ka ʻōlelo huna i kēlā me kēia kau.
ʻOi aku ka maikaʻi o ka pale ʻia ʻana o nā polokalamu kele i nā hoʻouka kaua Man-in-the-Middle. Ma nā wahi koʻikoʻi mail.ru a pau, ma kahi o HTTPS, ua hiki ke kulekele HSTS (HTTP strict transport security). Me ka HSTS hiki, ʻaʻole hāʻawi ka polokalamu kele pūnaewele hou i ka mea hoʻohana i kahi koho maʻalahi e ʻae i kahi palapala hoʻopunipuni, ʻoiai inā makemake ka mea hoʻohana. Ma kahi o HSTS, ua hoʻopakele ʻia nā mea hoʻohana e ka mea mai ka 2017, SMTP, IMAP a me POP3 server o Mail.ru pāpā i ka hoʻololi ʻana i nā ʻōlelo huna ma kahi pilina paʻa ʻole, ua hoʻohana kā mākou mea hoʻohana a pau i ka TLS no ke komo ʻana ma o SMTP, POP3 a me IMAP, a no laila hiki ke hoʻopaʻa inoa a me ka ʻōlelo huna inā ʻae ka mea hoʻohana ponoʻī e ʻae i ka palapala hoʻopunipuni.
No nā mea hoʻohana kelepona, paipai mau mākou e hoʻohana i nā noi Mail.ru e kiʻi i ka leka uila, no ka mea... ʻoi aku ka palekana o ka hana ʻana me ka leka uila ma mua o nā polokalamu kele pūnaewele a i ʻole nā mea kūʻai aku SMTP/IMAP i kūkulu ʻia.
He mea e hana
Pono e hoʻonui i ka firmware MikroTik RouterOS i kahi mana paʻa. Inā no kekahi kumu ʻaʻole hiki kēia, pono ia e kānana i ke kaʻa ma ke awa 8291 (tcp a me udp), e hoʻopiʻi kēia i ka hoʻohana ʻana i ka pilikia, ʻoiai ʻaʻole ia e hoʻopau i ka hiki ke hoʻokomo i ka passive i loko o ka cache DNS. Pono nā ISP e kānana i kēia awa ma kā lākou pūnaewele e pale i nā mea hoʻohana ʻoihana.
Pono nā mea hoʻohana a pau i ʻae i kahi palapala i hoʻololi ʻia e hoʻololi koke i ka ʻōlelo huna no ka leka uila a me nā lawelawe ʻē aʻe i ʻae ʻia ai kēia palapala. No kā mākou ʻaoʻao, e hoʻolaha mākou i nā mea hoʻohana i komo i ka leka uila ma o nā mea pilikia.
PS Aia kekahi pilikia pili i wehewehe ʻia ma ka pou "".
Source: www.habr.com