Að kvöldi 10. mars byrjaði stuðningsþjónusta Mail.ru að fá kvartanir frá notendum um vanhæfni til að tengjast Mail.ru IMAP/SMTP netþjónum í gegnum tölvupóstforrit. Á sama tíma fóru sumar tengingar ekki í gegn og sumar sýna vottorðsvillu. Villan stafar af því að „þjónninn“ gefur út sjálfundirritað TLS vottorð.
Á tveimur dögum bárust meira en 10 kvartanir frá notendum á ýmsum netkerfum og með margvíslegum tækjum, sem gerir það að verkum að það er ólíklegt að vandamálið hafi verið í neti einhverrar þjónustuveitu. Nánari greining á vandamálinu leiddi í ljós að verið er að skipta út imap.mail.ru þjóninum (sem og öðrum póstþjónum og þjónustu) á DNS stigi. Ennfremur, með virkri hjálp notenda okkar, komumst við að því að ástæðan var röng færsla í skyndiminni á beini þeirra, sem er einnig staðbundinn DNS lausnari, og sem í mörgum (en ekki öllum) tilfellum reyndist vera MikroTik tæki, mjög vinsælt í litlum fyrirtækjanetum og frá litlum netveitum.
Hvað er vandamálið
Í september 2019, vísindamenn nokkrir veikleikar í MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), sem leyfði DNS skyndiminni eitrunarárás, þ.e. möguleikinn á að skemma DNS færslur í DNS skyndiminni beinans og CVE-2019-3978 gerir árásarmanninum kleift að bíða ekki eftir því að einhver úr innra netinu biðji um færslu á DNS þjóninum sínum til að eitra fyrir skyndiminni lausnarans, heldur hefja slíkt. beiðni sjálfur í gegnum höfnina 8291 (UDP og TCP). Varnarleysið var lagað af MikroTik í útgáfum af RouterOS 6.45.7 (stöðugt) og 6.44.6 (langtíma) þann 28. október 2019, en skv. Flestir notendur hafa ekki sett upp plástra eins og er.
Það er augljóst að þetta vandamál er nú virkt nýtt „í beinni“.
Af hverju er það hættulegt
Árásarmaður getur svikið DNS-skrá hvers hýsils sem notandi hefur aðgang að á innra neti og þar með stöðvað umferð til hans. Ef viðkvæmar upplýsingar eru sendar án dulkóðunar (til dæmis yfir http:// án TLS) eða notandinn samþykkir að samþykkja falsað vottorð getur árásarmaðurinn fengið öll þau gögn sem send eru í gegnum tenginguna, svo sem innskráningu eða lykilorð. Því miður sýnir æfingin að ef notandi hefur tækifæri til að samþykkja falsað vottorð mun hann nýta sér það.
Hvers vegna SMTP og IMAP netþjónar, og hvað bjargaði notendum
Hvers vegna reyndu árásarmennirnir að stöðva SMTP/IMAP umferð tölvupóstforrita, en ekki vefumferð, þó flestir notendur hafi aðgang að póstinum sínum í gegnum HTTPS vafra?
Ekki eru öll tölvupóstforrit sem vinna í gegnum SMTP og IMAP/POP3 vernda notandann gegn villum, koma í veg fyrir að hann geti sent notandanafn og lykilorð í gegnum ótryggða eða málamiðlana tengingu, þó samkvæmt staðlinum , samþykkt aftur árið 2018 (og innleidd í Mail.ru miklu fyrr), verða þeir að vernda notandann gegn hlerun lykilorðs í gegnum ótryggða tengingu. Að auki er OAuth samskiptareglan mjög sjaldan notuð í tölvupóstforritum (hún er studd af Mail.ru póstþjónum), og án hennar er innskráning og lykilorð send í hverri lotu.
Vafrar gætu verið aðeins betur varnir gegn Man-in-the-Middle árásum. Á öllum mail.ru mikilvægum lénum, auk HTTPS, er HSTS (HTTP strict transport security) stefnan virkjuð. Með HSTS virkt gefur nútíma vafri notandanum ekki auðveldan kost að samþykkja fölsuð vottorð, jafnvel þótt notandinn vilji það. Auk HSTS var notendum bjargað með því að síðan 2017, SMTP, IMAP og POP3 netþjónar Mail.ru banna flutning lykilorða um ótryggða tengingu, allir notendur okkar notuðu TLS til að fá aðgang í gegnum SMTP, POP3 og IMAP, og því getur notandanafn og lykilorð aðeins stöðvað ef notandinn sjálfur samþykkir að samþykkja falsaða vottorðið.
Fyrir farsímanotendur mælum við alltaf með því að nota Mail.ru forrit til að fá aðgang að pósti, því... að vinna með póst í þeim er öruggara en í vöfrum eða innbyggðum SMTP/IMAP viðskiptavinum.
Hvað á að gera
Nauðsynlegt er að uppfæra MikroTik RouterOS vélbúnaðinn í örugga útgáfu. Ef af einhverjum ástæðum er þetta ekki mögulegt er nauðsynlegt að sía umferð á port 8291 (tcp og udp), þetta mun flækja hagnýtingu vandamálsins, þó það útiloki ekki möguleikann á óvirkri innspýtingu í DNS skyndiminni. ISPs ættu að sía þessa höfn á netkerfum sínum til að vernda fyrirtækjanotendur.
Allir notendur sem samþykktu í stað vottorðs ættu að breyta lykilorðinu fyrir tölvupóst og aðra þjónustu sem þetta vottorð var samþykkt fyrir. Af okkar hálfu munum við tilkynna notendum sem fá aðgang að pósti í gegnum viðkvæm tæki.
PS Það er líka tengd veikleiki sem lýst er í færslunni "".
Heimild: www.habr.com