Navečer 10. ožujka služba za podršku Mail.ru počela je primati pritužbe korisnika o nemogućnosti povezivanja s IMAP/SMTP poslužiteljima Mail.ru putem programa za e-poštu. U isto vrijeme, neke veze nisu prošle, a neke pokazuju pogrešku certifikata. Pogrešku uzrokuje "poslužitelj" koji izdaje samopotpisani TLS certifikat.
U dva dana pristiglo je više od 10 pritužbi korisnika na raznim mrežama i s različitim uređajima, pa je malo vjerojatno da je problem u mreži bilo kojeg pružatelja usluga. Detaljnijom analizom problema utvrđeno je da se server imap.mail.ru (kao i ostali mail serveri i servisi) mijenjaju na DNS razini. Nadalje, uz aktivnu pomoć naših korisnika, otkrili smo da je razlog bio pogrešan unos u predmemoriju njihovog usmjerivača, koji je ujedno i lokalni DNS razrješivač, a za koji se u mnogim (ali ne svim) slučajevima pokazalo da je MikroTik uređaj, vrlo popularan u malim korporativnim mrežama i kod malih pružatelja internetskih usluga.
U čemu je problem
U rujnu 2019. istraživači nekoliko ranjivosti u MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), koje su omogućile napad trovanja DNS predmemorije, tj. mogućnost krivotvorenja DNS zapisa u DNS predmemoriju usmjerivača, a CVE-2019-3978 omogućuje napadaču da ne čeka da netko iz interne mreže zatraži unos na njegovom DNS poslužitelju kako bi zatrovao predmemoriju rezolvera, već da pokrene takav sam zatraži putem porta 8291 (UDP i TCP). Ranjivost je popravio MikroTik u verzijama RouterOS-a 6.45.7 (stabilna) i 6.44.6 (dugoročna) 28. listopada 2019., ali prema Većina korisnika trenutno nema instalirane zakrpe.
Očito je da se ovaj problem sada aktivno eksploatira “uživo”.
Zašto je opasno?
Napadač može krivotvoriti DNS zapis bilo kojeg hosta kojem je pristupio korisnik na internoj mreži, presrećući tako promet prema njemu. Ako se osjetljive informacije prenose bez enkripcije (na primjer, preko http:// bez TLS-a) ili korisnik pristane prihvatiti lažni certifikat, napadač može dobiti sve podatke koji se šalju putem veze, kao što su prijava ili lozinka. Nažalost, praksa pokazuje da ako korisnik ima priliku prihvatiti lažni certifikat, on će to i iskoristiti.
Zašto SMTP i IMAP poslužitelji i što je spasilo korisnike
Zašto su napadači pokušali presresti SMTP/IMAP promet e-mail aplikacija, a ne web promet, iako većina korisnika svojoj pošti pristupa putem HTTPS preglednika?
Ne štite svi programi za e-poštu putem SMTP i IMAP/POP3 korisnika od pogrešaka, sprječavajući ga da pošalje prijavu i lozinku putem nezaštićene ili kompromitirane veze, iako prema standardu , usvojen još 2018. (i implementiran u Mail.ru puno ranije), oni moraju zaštititi korisnika od presretanja lozinke putem bilo koje nezaštićene veze. Osim toga, OAuth protokol vrlo se rijetko koristi u klijentima e-pošte (podržavaju ga poslužitelji pošte Mail.ru), a bez njega se prijava i lozinka prenose u svakoj sesiji.
Preglednici su možda malo bolje zaštićeni od napada Man-in-the-Middle. Na svim mail.ru kritičnim domenama, osim HTTPS-a, omogućena je politika HSTS (HTTP strict transport security). S omogućenim HSTS-om, moderni preglednik ne daje korisniku jednostavnu mogućnost prihvaćanja lažnog certifikata, čak i ako korisnik to želi. Osim HSTS-a, korisnike je spasila činjenica da od 2017. SMTP, IMAP i POP3 poslužitelji Mail.ru zabranjuju prijenos lozinki preko nezaštićene veze, svi naši korisnici koristili su TLS za pristup putem SMTP, POP3 i IMAP, a stoga se prijava i lozinka mogu presresti samo ako korisnik sam pristane prihvatiti lažirani certifikat.
Korisnicima mobilnih uređaja uvijek preporučujemo korištenje Mail.ru aplikacija za pristup pošti jer... rad s poštom u njima je sigurniji nego u preglednicima ili ugrađenim SMTP/IMAP klijentima.
Što učiniti
Potrebno je ažurirati MikroTik RouterOS firmware na sigurnu verziju. Ako iz nekog razloga to nije moguće, potrebno je filtrirati promet na portu 8291 (tcp i udp), to će zakomplicirati iskorištavanje problema, iako neće eliminirati mogućnost pasivnog ubacivanja u DNS cache. ISP-ovi bi trebali filtrirati ovaj priključak na svojim mrežama kako bi zaštitili korporativne korisnike.
Svi korisnici koji su prihvatili zamijenjeni certifikat trebaju hitno promijeniti lozinku za e-poštu i druge servise za koje je ovaj certifikat prihvaćen. S naše strane, mi ćemo obavijestiti korisnike koji pristupaju pošti putem ranjivih uređaja.
p.s. Postoji i povezana ranjivost opisana u objavi "".
Izvor: www.habr.com