Pada malam tanggal 10 Maret, layanan dukungan Mail.ru mulai menerima keluhan dari pengguna tentang ketidakmampuan untuk terhubung ke server IMAP/SMTP Mail.ru melalui program email. Pada saat yang sama, beberapa koneksi tidak tersambung, dan beberapa menunjukkan kesalahan sertifikat. Kesalahan ini disebabkan oleh "server" yang mengeluarkan sertifikat TLS yang ditandatangani sendiri.
Selama dua hari, lebih dari 10 keluhan datang dari pengguna di berbagai jaringan dan perangkat yang beragam, sehingga kecil kemungkinan masalahnya terjadi pada jaringan satu penyedia saja. Analisis lebih rinci mengenai masalah ini mengungkapkan bahwa server imap.mail.ru (serta server dan layanan email lainnya) sedang diganti di tingkat DNS. Selanjutnya, dengan bantuan aktif dari pengguna kami, kami menemukan bahwa alasannya adalah entri yang salah dalam cache router mereka, yang juga merupakan penyelesai DNS lokal, dan yang dalam banyak (tetapi tidak semua) kasus ternyata adalah MikroTik. perangkat, sangat populer di jaringan perusahaan kecil dan dari penyedia Internet kecil.
Apa masalahnya
Pada bulan September 2019, peneliti beberapa kerentanan di MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), yang memungkinkan serangan keracunan cache DNS, yaitu kemampuan untuk memalsukan catatan DNS di cache DNS router, dan CVE-2019-3978 memungkinkan penyerang tidak menunggu seseorang dari jaringan internal meminta entri di server DNS-nya untuk meracuni cache penyelesai, tetapi untuk memulainya permintaan sendiri melalui port 8291 (UDP dan TCP). Kerentanan telah diperbaiki oleh MikroTik di versi RouterOS 6.45.7 (stabil) dan 6.44.6 (jangka panjang) pada 28 Oktober 2019, namun menurut Sebagian besar pengguna saat ini belum menginstal patch.
Jelas sekali bahwa masalah ini sekarang sedang dieksploitasi secara aktif secara βlangsungβ.
Mengapa itu berbahaya
Penyerang dapat memalsukan catatan DNS dari host mana pun yang diakses oleh pengguna di jaringan internal, sehingga mencegat lalu lintas ke host tersebut. Jika informasi sensitif dikirimkan tanpa enkripsi (misalnya, melalui http:// tanpa TLS) atau pengguna setuju untuk menerima sertifikat palsu, penyerang dapat memperoleh semua data yang dikirim melalui koneksi, seperti login atau kata sandi. Sayangnya, praktik menunjukkan bahwa jika pengguna memiliki kesempatan untuk menerima sertifikat palsu, ia akan memanfaatkannya.
Mengapa server SMTP dan IMAP, dan apa yang menyelamatkan pengguna
Mengapa penyerang mencoba mencegat lalu lintas SMTP/IMAP aplikasi email, dan bukan lalu lintas web, meskipun sebagian besar pengguna mengakses email mereka melalui browser HTTPS?
Tidak semua program email yang bekerja melalui SMTP dan IMAP/POP3 melindungi pengguna dari kesalahan, mencegahnya mengirimkan login dan kata sandi melalui koneksi yang tidak aman atau disusupi, meskipun sesuai standar , diadopsi pada tahun 2018 (dan diterapkan di Mail.ru jauh lebih awal), mereka harus melindungi pengguna dari intersepsi kata sandi melalui koneksi yang tidak aman. Selain itu, protokol OAuth sangat jarang digunakan di klien email (didukung oleh server email Mail.ru), dan tanpanya, login dan kata sandi dikirimkan di setiap sesi.
Browser mungkin sedikit lebih terlindungi dari serangan Man-in-the-Middle. Di semua domain penting mail.ru, selain HTTPS, kebijakan HSTS (keamanan transportasi ketat HTTP) diaktifkan. Dengan mengaktifkan HSTS, browser modern tidak memberikan pengguna opsi mudah untuk menerima sertifikat palsu, meskipun pengguna menginginkannya. Selain HSTS, pengguna terselamatkan oleh fakta bahwa sejak 2017, server SMTP, IMAP, dan POP3 di Mail.ru melarang transfer kata sandi melalui koneksi yang tidak aman, semua pengguna kami menggunakan TLS untuk akses melalui SMTP, POP3, dan IMAP, dan oleh karena itu login dan kata sandi hanya dapat disadap jika pengguna sendiri setuju untuk menerima sertifikat palsu.
Untuk pengguna seluler, kami selalu menyarankan menggunakan aplikasi Mail.ru untuk mengakses email, karena... bekerja dengan email di dalamnya lebih aman dibandingkan di browser atau klien SMTP/IMAP bawaan.
Apa yang harus dilakukan
Firmware MikroTik RouterOS perlu diupdate ke versi yang aman. Jika karena alasan tertentu hal ini tidak memungkinkan, maka perlu memfilter lalu lintas pada port 8291 (tcp dan udp), ini akan mempersulit eksploitasi masalah, meskipun tidak menghilangkan kemungkinan injeksi pasif ke dalam cache DNS. ISP harus memfilter port ini di jaringan mereka untuk melindungi pengguna korporat.
Semua pengguna yang menerima sertifikat pengganti harus segera mengubah kata sandi untuk email dan layanan lain yang menerima sertifikat ini. Bagi kami, kami akan memberi tahu pengguna yang mengakses email melalui perangkat yang rentan.
PS Ada juga kerentanan terkait yang dijelaskan dalam postingan "".
Sumber: www.habr.com