ಮಾರ್ಚ್ 10 ರ ಸಂಜೆ, Mail.ru ಬೆಂಬಲ ಸೇವೆಯು ಇಮೇಲ್ ಕಾರ್ಯಕ್ರಮಗಳ ಮೂಲಕ Mail.ru IMAP/SMTP ಸರ್ವರ್ಗಳಿಗೆ ಸಂಪರ್ಕಿಸಲು ಅಸಮರ್ಥತೆಯ ಬಗ್ಗೆ ಬಳಕೆದಾರರಿಂದ ದೂರುಗಳನ್ನು ಸ್ವೀಕರಿಸಲು ಪ್ರಾರಂಭಿಸಿತು. ಅದೇ ಸಮಯದಲ್ಲಿ, ಕೆಲವು ಸಂಪರ್ಕಗಳು ಹಾದುಹೋಗಲಿಲ್ಲ, ಮತ್ತು ಕೆಲವು ಪ್ರಮಾಣಪತ್ರ ದೋಷವನ್ನು ತೋರಿಸುತ್ತವೆ. ಸ್ವಯಂ ಸಹಿ ಮಾಡಿದ TLS ಪ್ರಮಾಣಪತ್ರವನ್ನು "ಸರ್ವರ್" ನೀಡುವುದರಿಂದ ದೋಷ ಉಂಟಾಗುತ್ತದೆ.
ಎರಡು ದಿನಗಳಲ್ಲಿ, ವಿವಿಧ ರೀತಿಯ ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಮತ್ತು ವಿವಿಧ ಸಾಧನಗಳೊಂದಿಗೆ ಬಳಕೆದಾರರಿಂದ 10 ಕ್ಕೂ ಹೆಚ್ಚು ದೂರುಗಳು ಬಂದವು, ಯಾವುದೇ ಪೂರೈಕೆದಾರರ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಸಮಸ್ಯೆ ಇರುವುದು ಅಸಂಭವವಾಗಿದೆ. ಸಮಸ್ಯೆಯ ಹೆಚ್ಚು ವಿವರವಾದ ವಿಶ್ಲೇಷಣೆಯು imap.mail.ru ಸರ್ವರ್ ಅನ್ನು (ಹಾಗೆಯೇ ಇತರ ಮೇಲ್ ಸರ್ವರ್ಗಳು ಮತ್ತು ಸೇವೆಗಳು) DNS ಮಟ್ಟದಲ್ಲಿ ಬದಲಾಯಿಸಲಾಗುತ್ತಿದೆ ಎಂದು ಬಹಿರಂಗಪಡಿಸಿತು. ಇದಲ್ಲದೆ, ನಮ್ಮ ಬಳಕೆದಾರರ ಸಕ್ರಿಯ ಸಹಾಯದಿಂದ, ಕಾರಣ ಅವರ ರೂಟರ್ನ ಸಂಗ್ರಹದಲ್ಲಿ ತಪ್ಪಾದ ನಮೂದು ಎಂದು ನಾವು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ, ಇದು ಸ್ಥಳೀಯ DNS ಪರಿಹಾರಕವೂ ಆಗಿದೆ ಮತ್ತು ಇದು ಅನೇಕ (ಆದರೆ ಎಲ್ಲ ಅಲ್ಲ) ಸಂದರ್ಭಗಳಲ್ಲಿ MikroTik ಆಗಿ ಹೊರಹೊಮ್ಮಿದೆ. ಸಾಧನ, ಸಣ್ಣ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಮತ್ತು ಸಣ್ಣ ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರಿಂದ ಬಹಳ ಜನಪ್ರಿಯವಾಗಿದೆ.
ಸಮಸ್ಯೆ ಏನು
ಸೆಪ್ಟೆಂಬರ್ 2019 ರಲ್ಲಿ, ಸಂಶೋಧಕರು MikroTik RouterOS ನಲ್ಲಿ ಹಲವಾರು ದುರ್ಬಲತೆಗಳು (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), ಇದು DNS ಸಂಗ್ರಹ ವಿಷದ ದಾಳಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು, ಅಂದರೆ. ರೂಟರ್ನ DNS ಸಂಗ್ರಹದಲ್ಲಿ DNS ದಾಖಲೆಗಳನ್ನು ವಂಚಿಸುವ ಸಾಮರ್ಥ್ಯ ಮತ್ತು CVE-2019-3978, ಪರಿಹಾರಕ ಸಂಗ್ರಹವನ್ನು ವಿಷಪೂರಿತಗೊಳಿಸಲು ತನ್ನ DNS ಸರ್ವರ್ನಲ್ಲಿ ನಮೂದನ್ನು ವಿನಂತಿಸಲು ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ನಿಂದ ಯಾರಾದರೂ ನಿರೀಕ್ಷಿಸದಂತೆ ಆಕ್ರಮಣಕಾರರಿಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಆದರೆ ಅಂತಹದನ್ನು ಪ್ರಾರಂಭಿಸಲು ಪೋರ್ಟ್ 8291 (ಯುಡಿಪಿ ಮತ್ತು ಟಿಸಿಪಿ) ಮೂಲಕ ಸ್ವತಃ ವಿನಂತಿ. ಅಕ್ಟೋಬರ್ 6.45.7, 6.44.6 ರಂದು RouterOS 28 (ಸ್ಥಿರ) ಮತ್ತು 2019 (ದೀರ್ಘಾವಧಿಯ) ಆವೃತ್ತಿಗಳಲ್ಲಿ MikroTik ನಿಂದ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ, ಆದರೆ ಅದರ ಪ್ರಕಾರ ಹೆಚ್ಚಿನ ಬಳಕೆದಾರರು ಪ್ರಸ್ತುತ ಪ್ಯಾಚ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಿಲ್ಲ.
ಈ ಸಮಸ್ಯೆಯನ್ನು ಈಗ "ಲೈವ್" ಅನ್ನು ಸಕ್ರಿಯವಾಗಿ ಬಳಸಿಕೊಳ್ಳಲಾಗುತ್ತಿದೆ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿದೆ.
ಇದು ಏಕೆ ಅಪಾಯಕಾರಿ?
ಆಕ್ರಮಣಕಾರರು ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಬಳಕೆದಾರರು ಪ್ರವೇಶಿಸಿದ ಯಾವುದೇ ಹೋಸ್ಟ್ನ DNS ದಾಖಲೆಯನ್ನು ವಂಚಿಸಬಹುದು, ಆ ಮೂಲಕ ಅದಕ್ಕೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪ್ರತಿಬಂಧಿಸಬಹುದು. ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಯನ್ನು ಎನ್ಕ್ರಿಪ್ಶನ್ ಇಲ್ಲದೆ ರವಾನಿಸಿದರೆ (ಉದಾಹರಣೆಗೆ, TLS ಇಲ್ಲದೆ http:// ಮೂಲಕ) ಅಥವಾ ಬಳಕೆದಾರರು ನಕಲಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಲು ಒಪ್ಪಿದರೆ, ಆಕ್ರಮಣಕಾರರು ಲಾಗಿನ್ ಅಥವಾ ಪಾಸ್ವರ್ಡ್ನಂತಹ ಸಂಪರ್ಕದ ಮೂಲಕ ಕಳುಹಿಸಲಾದ ಎಲ್ಲಾ ಡೇಟಾವನ್ನು ಪಡೆಯಬಹುದು. ದುರದೃಷ್ಟವಶಾತ್, ಬಳಕೆದಾರನು ನಕಲಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಲು ಅವಕಾಶವನ್ನು ಹೊಂದಿದ್ದರೆ, ಅವನು ಅದರ ಲಾಭವನ್ನು ಪಡೆಯುತ್ತಾನೆ ಎಂದು ಅಭ್ಯಾಸವು ತೋರಿಸುತ್ತದೆ.
SMTP ಮತ್ತು IMAP ಸರ್ವರ್ಗಳು ಏಕೆ ಮತ್ತು ಬಳಕೆದಾರರನ್ನು ಉಳಿಸಿದವು
ದಾಳಿಕೋರರು ಇಮೇಲ್ ಅಪ್ಲಿಕೇಶನ್ಗಳ SMTP/IMAP ಟ್ರಾಫಿಕ್ ಅನ್ನು ತಡೆಯಲು ಏಕೆ ಪ್ರಯತ್ನಿಸಿದರು, ಮತ್ತು ವೆಬ್ ಟ್ರಾಫಿಕ್ ಅಲ್ಲ, ಆದಾಗ್ಯೂ ಹೆಚ್ಚಿನ ಬಳಕೆದಾರರು HTTPS ಬ್ರೌಸರ್ ಮೂಲಕ ತಮ್ಮ ಮೇಲ್ ಅನ್ನು ಪ್ರವೇಶಿಸುತ್ತಾರೆ?
SMTP ಮತ್ತು IMAP/POP3 ಮೂಲಕ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಎಲ್ಲಾ ಇಮೇಲ್ ಪ್ರೋಗ್ರಾಂಗಳು ಬಳಕೆದಾರರನ್ನು ದೋಷಗಳಿಂದ ರಕ್ಷಿಸುವುದಿಲ್ಲ, ಪ್ರಮಾಣಿತ ಪ್ರಕಾರ ಅಸುರಕ್ಷಿತ ಅಥವಾ ರಾಜಿ ಸಂಪರ್ಕದ ಮೂಲಕ ಲಾಗಿನ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಕಳುಹಿಸುವುದನ್ನು ತಡೆಯುತ್ತದೆ. , 2018 ರಲ್ಲಿ ಮತ್ತೆ ಅಳವಡಿಸಿಕೊಳ್ಳಲಾಗಿದೆ (ಮತ್ತು Mail.ru ನಲ್ಲಿ ಬಹಳ ಹಿಂದೆಯೇ ಅಳವಡಿಸಲಾಗಿದೆ), ಅವರು ಯಾವುದೇ ಅಸುರಕ್ಷಿತ ಸಂಪರ್ಕದ ಮೂಲಕ ಪಾಸ್ವರ್ಡ್ ಪ್ರತಿಬಂಧದಿಂದ ಬಳಕೆದಾರರನ್ನು ರಕ್ಷಿಸಬೇಕು. ಹೆಚ್ಚುವರಿಯಾಗಿ, OAuth ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಇಮೇಲ್ ಕ್ಲೈಂಟ್ಗಳಲ್ಲಿ ಬಹಳ ವಿರಳವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ (ಇದು Mail.ru ಮೇಲ್ ಸರ್ವರ್ಗಳಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ), ಮತ್ತು ಅದು ಇಲ್ಲದೆ, ಪ್ರತಿ ಸೆಷನ್ನಲ್ಲಿ ಲಾಗಿನ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ರವಾನೆಯಾಗುತ್ತದೆ.
ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಯ ವಿರುದ್ಧ ಬ್ರೌಸರ್ಗಳು ಸ್ವಲ್ಪ ಉತ್ತಮವಾಗಿ ರಕ್ಷಿಸಲ್ಪಡಬಹುದು. ಎಲ್ಲಾ mail.ru ನಿರ್ಣಾಯಕ ಡೊಮೇನ್ಗಳಲ್ಲಿ, HTTPS ಜೊತೆಗೆ, HSTS (HTTP ಕಟ್ಟುನಿಟ್ಟಾದ ಸಾರಿಗೆ ಭದ್ರತೆ) ನೀತಿಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ. HSTS ಸಕ್ರಿಯಗೊಳಿಸಿದಲ್ಲಿ, ಬಳಕೆದಾರರು ಬಯಸಿದರೂ ಸಹ, ನಕಲಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಲು ಆಧುನಿಕ ಬ್ರೌಸರ್ ಬಳಕೆದಾರರಿಗೆ ಸುಲಭವಾದ ಆಯ್ಕೆಯನ್ನು ನೀಡುವುದಿಲ್ಲ. HSTS ಜೊತೆಗೆ, 2017 ರಿಂದ, Mail.ru ನ SMTP, IMAP ಮತ್ತು POP3 ಸರ್ವರ್ಗಳು ಅಸುರಕ್ಷಿತ ಸಂಪರ್ಕದ ಮೂಲಕ ಪಾಸ್ವರ್ಡ್ಗಳ ವರ್ಗಾವಣೆಯನ್ನು ನಿಷೇಧಿಸುತ್ತವೆ ಎಂಬ ಅಂಶದಿಂದ ಬಳಕೆದಾರರನ್ನು ಉಳಿಸಲಾಗಿದೆ, ನಮ್ಮ ಎಲ್ಲಾ ಬಳಕೆದಾರರು SMTP, POP3 ಮತ್ತು IMAP ಮೂಲಕ ಪ್ರವೇಶಕ್ಕಾಗಿ TLS ಅನ್ನು ಬಳಸುತ್ತಾರೆ ಮತ್ತು ಆದ್ದರಿಂದ ಬಳಕೆದಾರರು ಸ್ವತಃ ವಂಚನೆಯ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಲು ಒಪ್ಪಿಕೊಂಡರೆ ಮಾತ್ರ ಲಾಗಿನ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಪ್ರತಿಬಂಧಿಸಬಹುದು.
ಮೊಬೈಲ್ ಬಳಕೆದಾರರಿಗೆ, ಮೇಲ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು Mail.ru ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಬಳಸಲು ನಾವು ಯಾವಾಗಲೂ ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ, ಏಕೆಂದರೆ... ಅವುಗಳಲ್ಲಿ ಮೇಲ್ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವುದು ಬ್ರೌಸರ್ಗಳು ಅಥವಾ ಅಂತರ್ನಿರ್ಮಿತ SMTP/IMAP ಕ್ಲೈಂಟ್ಗಳಿಗಿಂತ ಸುರಕ್ಷಿತವಾಗಿದೆ.
ಏನು ಮಾಡಬೇಕೆಂದು
MikroTik RouterOS ಫರ್ಮ್ವೇರ್ ಅನ್ನು ಸುರಕ್ಷಿತ ಆವೃತ್ತಿಗೆ ನವೀಕರಿಸುವುದು ಅವಶ್ಯಕ. ಕೆಲವು ಕಾರಣಗಳಿಂದ ಇದು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ, ಪೋರ್ಟ್ 8291 (tcp ಮತ್ತು udp) ನಲ್ಲಿ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಫಿಲ್ಟರ್ ಮಾಡುವುದು ಅವಶ್ಯಕ, ಇದು ಸಮಸ್ಯೆಯ ಶೋಷಣೆಯನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತದೆ, ಆದರೂ ಇದು DNS ಸಂಗ್ರಹಕ್ಕೆ ನಿಷ್ಕ್ರಿಯ ಇಂಜೆಕ್ಷನ್ ಸಾಧ್ಯತೆಯನ್ನು ತೆಗೆದುಹಾಕುವುದಿಲ್ಲ. ಕಾರ್ಪೊರೇಟ್ ಬಳಕೆದಾರರನ್ನು ರಕ್ಷಿಸಲು ISP ಗಳು ತಮ್ಮ ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಈ ಪೋರ್ಟ್ ಅನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಬೇಕು.
ಬದಲಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಿದ ಎಲ್ಲಾ ಬಳಕೆದಾರರು ಈ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಿದ ಇಮೇಲ್ ಮತ್ತು ಇತರ ಸೇವೆಗಳಿಗೆ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ತುರ್ತಾಗಿ ಬದಲಾಯಿಸಬೇಕು. ನಮ್ಮ ಪಾಲಿಗೆ, ದುರ್ಬಲ ಸಾಧನಗಳ ಮೂಲಕ ಮೇಲ್ ಅನ್ನು ಪ್ರವೇಶಿಸುವ ಬಳಕೆದಾರರಿಗೆ ನಾವು ಸೂಚಿಸುತ್ತೇವೆ.
PS ಪೋಸ್ಟ್ನಲ್ಲಿ ವಿವರಿಸಲಾದ ಸಂಬಂಧಿತ ದುರ್ಬಲತೆಯೂ ಇದೆ "".
ಮೂಲ: www.habr.com