Nan aswè a nan 10 mas, sèvis sipò Mail.ru te kòmanse resevwa plent nan men itilizatè yo sou enkapasite a konekte ak Mail.ru IMAP / SMTP sèvè atravè pwogram imel. An menm tan an, kèk koneksyon pa t 'ale nan, ak kèk montre yon erè sètifika. Erè a se koze pa "sèvè a" bay yon sètifika TLS ki siyen tèt li.
Plis pase de jou, plis pase 10 plent te vini soti nan itilizatè yo sou yon gran varyete rezo ak ak yon varyete de aparèy, ki fè li fasil ke pwoblèm nan te nan rezo a nan nenpòt founisè. Yon analiz pi detaye sou pwoblèm nan revele ke sèvè a imap.mail.ru (kòm byen ke lòt sèvè lapòs ak sèvis) ap ranplase nan nivo DNS. Anplis de sa, avèk èd aktif nan itilizatè nou yo, nou te jwenn ke rezon ki fè yo te yon antre kòrèk nan kachèt la nan routeur yo, ki se tou yon rezolisyon DNS lokal yo, epi ki nan anpil (men se pa tout) ka yo te tounen MikroTik la. aparèy, trè popilè nan ti rezo antrepriz ak nan ti founisè entènèt.
Kisa pwoblèm nan ye
Nan mwa septanm 2019, chèchè yo plizyè vilnerabilite nan MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), ki te pèmèt yon atak anpwazònman kachèt DNS, i.e. kapasite nan spoof dosye dns nan kachèt dns routeur la, ak CVE-2019-3978 pèmèt atakè a pa tann pou yon moun ki soti nan rezo entèn la mande yon antre sou sèvè dns li yo nan lòd yo anpwazonnen kachèt rezolisyon an, men yo kòmanse sa yo. yon demann tèt li nan pò a 8291 (UDP ak TCP). MikroTik te fikse vilnerabilite a nan vèsyon RouterOS 6.45.7 (ki estab) ak 6.44.6 (alontèm) nan dat 28 oktòb 2019, men dapre Pifò itilizatè pa gen kounye a enstale plak yo.
Li evidan ke pwoblèm sa a se kounye a ke yo te aktivman eksplwate "viv".
Poukisa li danjere?
Yon atakè ka twonpe dosye dns nenpòt ki itilizatè yo jwenn aksè nan rezo entèn la, kidonk entèsepte trafik nan li. Si enfòmasyon sansib yo transmèt san chifreman (pa egzanp, sou http:// san TLS) oswa itilizatè a dakò aksepte yon sètifika fo, atakè a ka jwenn tout done yo voye nan koneksyon an, tankou yon login oswa modpas. Malerezman, pratik montre ke si yon itilizatè gen opòtinite pou aksepte yon sètifika fo, li pral pran avantaj de li.
Poukisa SMTP ak IMAP serveurs, ak sa ki sove itilizatè yo
Poukisa atakè yo te eseye entèsepte trafik SMTP/IMAP nan aplikasyon imel, epi yo pa trafik entènèt, byenke pifò itilizatè yo jwenn aksè nan lapòs yo atravè navigatè HTTPS?
Se pa tout pwogram imel k ap travay atravè SMTP ak IMAP/POP3 pwoteje itilizatè a kont erè, anpeche l voye login ak modpas atravè yon koneksyon ki pa garanti oswa konpwomèt, byenke dapre estanda a. , adopte tounen nan 2018 (ak aplike nan Mail.ru pi bonè), yo dwe pwoteje itilizatè a kont entèsepsyon modpas atravè nenpòt koneksyon ki pa an sekirite. Anplis de sa, pwotokòl la OAuth trè raman itilize nan kliyan imel (li se sipòte pa Mail.ru sèvè lapòs), epi san li, koneksyon an ak modpas yo transmèt nan chak sesyon.
Navigatè yo ka yon ti kras pi byen pwoteje kont atak Man-in-the-Middle. Sou tout domèn kritik mail.ru, anplis HTTPS, politik HSTS (HTTP strik transpò sekirite) pèmèt. Avèk HSTS aktive, yon navigatè modèn pa bay itilizatè a yon opsyon fasil pou aksepte yon sètifika fo, menm si itilizatè a vle. Anplis HSTS, itilizatè yo te sove pa lefèt ke depi 2017, SMTP, IMAP ak POP3 sèvè nan Mail.ru entèdi transfè a nan modpas sou yon koneksyon san sekirite, tout itilizatè nou yo te itilize TLS pou aksè atravè SMTP, POP3 ak IMAP, ak Se poutèt sa login ak modpas ka entèsepte sèlman si itilizatè a tèt li dakò aksepte sètifika a spoofed.
Pou itilizatè mobil, nou toujou rekòmande pou itilize aplikasyon Mail.ru pou jwenn aksè nan lapòs, paske... travay ak lapòs nan yo pi an sekirite pase nan navigatè oswa kliyan bati-an SMTP/IMAP.
Ki sa ki ta dwe fè
Li nesesè pou mete ajou firmwèr MikroTik RouterOS la nan yon vèsyon an sekirite. Si pou kèk rezon sa a pa posib, li nesesè pou filtre trafik sou pò 8291 (tcp ak udp), sa ap konplike eksplwatasyon pwoblèm nan, byenke li pa pral elimine posiblite pou piki pasif nan kachèt DNS la. ISP yo ta dwe filtre pò sa a sou rezo yo pou pwoteje itilizatè antrepriz yo.
Tout itilizatè ki te aksepte yon sètifika ranplase ta dwe ijan chanje modpas la pou imel ak lòt sèvis pou yo te aksepte sètifika sa a. Bò kote nou, n ap fè itilizatè yo konnen ki gen aksè a lapòs atravè aparèy vilnerab yo.
PS Genyen tou yon vilnerabilite ki gen rapò dekri nan pòs la "".
Sous: www.habr.com