10 月 XNUMX 日の夜、Mail.ru サポート サービスは、電子メール プログラムを通じて Mail.ru IMAP/SMTP サーバーに接続できないというユーザーからの苦情を受け始めました。 同時に、一部の接続は確立されず、証明書エラーが表示される接続もありました。 このエラーは、「サーバー」が自己署名 TLS 証明書を発行することが原因で発生します。
10 日間で、さまざまなネットワークとさまざまなデバイスを使用するユーザーから XNUMX 件を超える苦情が寄せられ、問題が特定のプロバイダーのネットワークにあるとは考えられませんでした。 問題をより詳細に分析したところ、imap.mail.ru サーバー (および他のメール サーバーおよびサービス) が DNS レベルで置き換えられていることが明らかになりました。 さらに、ユーザーの積極的な支援により、その原因は、ローカル DNS リゾルバーでもあるルーターのキャッシュ内の誤ったエントリであることがわかり、多くの (すべてではありません) ケースで、MikroTik が原因であることが判明しました。小規模な企業ネットワークや小規模なインターネット プロバイダーで非常に人気のあるデバイスです。
何が問題ですか
2019年XNUMX月、研究者らは、 MikroTik RouterOS のいくつかの脆弱性 (CVE-2019-3976、CVE-2019-3977、CVE-2019-3978、CVE-2019-3979) により、DNS キャッシュ ポイズニング攻撃が可能になります。 ルーターの DNS キャッシュ内の DNS レコードをスプーフィングする機能、および CVE-2019-3978 により、攻撃者は、内部ネットワークから誰かがリゾルバー キャッシュを汚染するために DNS サーバー上のエントリを要求するのを待たずに、そのような攻撃を開始することができます。ポート 8291 (UDP および TCP) を介して自分自身をリクエストします。 この脆弱性は、6.45.7 年 6.44.6 月 28 日に RouterOS 2019 (安定版) および XNUMX (長期) のバージョンで MikroTik によって修正されましたが、 ほとんどのユーザーは現在パッチをインストールしていません。
この問題が現在「ライブ」で積極的に悪用されていることは明らかです。
なぜ危険なのか
攻撃者は、内部ネットワーク上のユーザーがアクセスするホストの DNS レコードを偽装し、そのホストへのトラフィックを傍受することができます。 機密情報が暗号化されずに送信される場合 (たとえば、TLS を使用しない http:// 経由)、またはユーザーが偽の証明書を受け入れることに同意する場合、攻撃者は接続を通じて送信されるすべてのデータ (ログインやパスワードなど) を取得できます。 残念なことに、実際には、ユーザーが偽の証明書を受け入れる機会がある場合、それを悪用することがわかっています。
SMTP サーバーと IMAP サーバーを使用する理由、およびユーザーを救った理由
ほとんどのユーザーは HTTPS ブラウザ経由でメールにアクセスしているにもかかわらず、攻撃者はなぜ Web トラフィックではなく、電子メール アプリケーションの SMTP/IMAP トラフィックを傍受しようとしたのでしょうか?
SMTP および IMAP/POP3 経由で動作するすべての電子メール プログラムがユーザーをエラーから保護するわけではなく、標準に従っているにもかかわらず、セキュリティで保護されていない接続や侵害された接続を介してログインとパスワードを送信することを妨げます。 2018 年に採用され (Mail.ru ではずっと前に実装されました)、安全でない接続を介したパスワードの傍受からユーザーを保護する必要があります。 さらに、OAuth プロトコルが電子メール クライアントで使用されることはほとんどなく (Mail.ru メール サーバーでサポートされています)、OAuth プロトコルを使用しないと、ログインとパスワードが各セッションで送信されます。
ブラウザは、中間者攻撃から少しだけ保護される可能性があります。 すべての mail.ru の重要なドメインでは、HTTPS に加えて、HSTS (HTTP 厳密なトランスポート セキュリティ) ポリシーが有効になっています。 HSTS が有効になっていると、最新のブラウザでは、ユーザーが望んでも、偽の証明書を受け入れる簡単なオプションが提供されません。 HSTS に加えて、2017 年以降、Mail.ru の SMTP、IMAP、および POP3 サーバーは安全でない接続を介したパスワードの転送を禁止し、すべてのユーザーが SMTP、POP3、および IMAP 経由のアクセスに TLS を使用したという事実によってユーザーは救われました。したがって、ログインとパスワードは、ユーザー自身が偽装された証明書を受け入れることに同意した場合にのみ傍受できます。
モバイル ユーザーの場合は、Mail.ru アプリケーションを使用してメールにアクセスすることを常にお勧めします。 ブラウザや組み込みの SMTP/IMAP クライアントでメールを操作するよりも安全です。
何をすべきか
MikroTik RouterOS ファームウェアを安全なバージョンに更新する必要があります。 何らかの理由でこれが不可能な場合は、ポート 8291 (tcp および udp) 上のトラフィックをフィルタリングする必要があります。これにより、問題の悪用が複雑になりますが、DNS キャッシュへのパッシブ インジェクションの可能性は排除されません。 ISP は、企業ユーザーを保護するためにネットワーク上でこのポートをフィルタリングする必要があります。
代替証明書を受け入れたすべてのユーザーは、この証明書が受け入れられた電子メールおよびその他のサービスのパスワードを緊急に変更する必要があります。 弊社としては、脆弱なデバイスを介してメールにアクセスするユーザーに通知します。
PS: 関連する脆弱性も投稿に記載されています。 "".
出所: habr.com