Navečer 10. ožujka služba za podršku Mail.ru počela je primati pritužbe korisnika o nemogućnosti povezivanja s IMAP/SMTP poslužiteljima Mail.ru putem programa za e-poštu. U isto vrijeme, neke veze nisu prošle, a neke pokazuju pogrešku certifikata. Pogrešku uzrokuje "poslužitelj" koji izdaje samopotpisani TLS certifikat.
U dva dana pristiglo je više od 10 pritužbi korisnika na raznim mrežama i s različitim uređajima, pa je malo vjerojatno da je problem u mreži bilo kojeg pružatelja usluga. Detaljnijom analizom problema utvrđeno je da se server imap.mail.ru (kao i ostali mail serveri i servisi) mijenjaju na DNS razini. Nadalje, uz aktivnu pomoć naših korisnika, otkrili smo da je razlog bio pogrešan unos u predmemoriju njihovog usmjerivača, koji je ujedno i lokalni DNS razrješivač, a za koji se u mnogim (ali ne svim) slučajevima pokazalo da je MikroTik uređaj, vrlo popularan u malim korporativnim mrežama i kod malih pružatelja internetskih usluga.
U čemu je problem
U rujnu 2019. istraživači
Očito je da se ovaj problem sada aktivno eksploatira “uživo”.
Zašto je opasno?
Napadač može krivotvoriti DNS zapis bilo kojeg hosta kojem je pristupio korisnik na internoj mreži, presrećući tako promet prema njemu. Ako se osjetljive informacije prenose bez enkripcije (na primjer, preko http:// bez TLS-a) ili korisnik pristane prihvatiti lažni certifikat, napadač može dobiti sve podatke koji se šalju putem veze, kao što su prijava ili lozinka. Nažalost, praksa pokazuje da ako korisnik ima priliku prihvatiti lažni certifikat, on će to i iskoristiti.
Zašto SMTP i IMAP poslužitelji i što je spasilo korisnike
Zašto su napadači pokušali presresti SMTP/IMAP promet e-mail aplikacija, a ne web promet, iako većina korisnika svojoj pošti pristupa putem HTTPS preglednika?
Ne štite svi programi za e-poštu putem SMTP i IMAP/POP3 korisnika od pogrešaka, sprječavajući ga da pošalje prijavu i lozinku putem nezaštićene ili kompromitirane veze, iako prema standardu
Preglednici su možda malo bolje zaštićeni od napada Man-in-the-Middle. Na svim mail.ru kritičnim domenama, osim HTTPS-a, omogućena je politika HSTS (HTTP strict transport security). S omogućenim HSTS-om, moderni preglednik ne daje korisniku jednostavnu mogućnost prihvaćanja lažnog certifikata, čak i ako korisnik to želi. Osim HSTS-a, korisnike je spasila činjenica da od 2017. SMTP, IMAP i POP3 poslužitelji Mail.ru zabranjuju prijenos lozinki preko nezaštićene veze, svi naši korisnici koristili su TLS za pristup putem SMTP, POP3 i IMAP, a stoga se prijava i lozinka mogu presresti samo ako korisnik sam pristane prihvatiti lažirani certifikat.
Korisnicima mobilnih uređaja uvijek preporučujemo korištenje Mail.ru aplikacija za pristup pošti jer... rad s poštom u njima je sigurniji nego u preglednicima ili ugrađenim SMTP/IMAP klijentima.
Što učiniti
Potrebno je ažurirati MikroTik RouterOS firmware na sigurnu verziju. Ako iz nekog razloga to nije moguće, potrebno je filtrirati promet na portu 8291 (tcp i udp), to će zakomplicirati iskorištavanje problema, iako neće eliminirati mogućnost pasivnog ubacivanja u DNS cache. ISP-ovi bi trebali filtrirati ovaj priključak na svojim mrežama kako bi zaštitili korporativne korisnike.
Svi korisnici koji su prihvatili zamijenjeni certifikat trebaju hitno promijeniti lozinku za e-poštu i druge servise za koje je ovaj certifikat prihvaćen. S naše strane, mi ćemo obavijestiti korisnike koji pristupaju pošti putem ranjivih uređaja.
p.s. Postoji i povezana ranjivost opisana u objavi
Izvor: www.habr.com