Di êvara 10ê Adarê de, karûbarê piştevaniya Mail.ru dest bi wergirtina giliyan ji bikarhêneran kir ku nekarîn bi bernameyên e-nameyê bi serverên Mail.ru IMAP/SMTP ve girêbidin. Di heman demê de, hin girêdan derbas nebûn, û hin jî xeletiyek sertîfîkayê nîşan didin. Çewtî ji ber ku "server" sertîfîkayek TLS-ya xwe-îmzakirî dide der.
Di du rojan de, zêdetirî 10 gilî ji bikarhêneran li ser cûrbecûr toran û bi cûrbecûr cîhazan hatin, ku ne mimkûn e ku pirsgirêk di tora yek pêşkêşker de be. Analîzek berfirehtir a pirsgirêkê diyar kir ku servera imap.mail.ru (herweha server û karûbarên din ên nameyê) di asta DNS de têne guheztin. Zêdetir, bi arîkariya çalak a bikarhênerên xwe, me dît ku sedem têketinek nerast e di cache routerê wan de, ku di heman demê de çareserkerek DNS-ya herêmî ye, û ku di gelek (lê ne hemî) bûyeran de derketiye holê ku MikroTik e. cîhaz, di torên pargîdaniyên piçûk û ji pêşkêşkerên piçûk ên Înternetê de pir populer e.
Pirsgirêk çi ye
Di îlona 2019 de, lêkolîner çend qelsiyên di MikroTik RouterOS de (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), ku destûr da êrîşek jehrîkirina cache DNS, ango. şiyana xapandina tomarên DNS-ê di cache DNS-ya routerê de, û CVE-2019-3978 dihêle ku êrîşkar ne li bendê bimîne ku kesek ji tora hundurîn daxwazek têketinek li ser servera xwe ya DNS bike da ku cache-ya çareserker jehrê bike, lê wusa bide destpêkirin daxwazek xwe bi riya porta 8291 (UDP û TCP). Qelsî ji hêla MikroTik ve di guhertoyên RouterOS 6.45.7 (îstîqrar) û 6.44.6 (demdirêj) de di 28ê Cotmeha 2019an de hate rast kirin, lê li gorî Pir bikarhêneran heya niha patches saz nekirine.
Eşkere ye ku ev pirsgirêk niha bi awayekî aktîf “bi zindî” tê bikaranîn.
Çima xeter e?
Êrîşkarek dikare tomara DNS-ê ya her mêvandarê ku ji hêla bikarhênerek li ser tora hundurîn ve hatî gihîştinê bixapîne, bi vî rengî seyrûsefera wê bigire. Ger agahdariya hesas bêyî şîfrekirinê were veguheztin (mînak, li ser http:// bêyî TLS) an jî bikarhêner razî bibe ku sertîfîkayek sexte qebûl bike, êrîşkar dikare hemî daneyên ku bi girêdanê ve têne şandin, mîna têketinek an şîfreyek, bistîne. Mixabin, pratîk destnîşan dike ku ger bikarhênerek derfet hebe ku sertîfîkayek sexte qebûl bike, ew ê jê sûd werbigire.
Çima serverên SMTP û IMAP, û bikarhênerên çi xilas kirin
Çima êrîşkaran hewl dan ku seyrûsefera SMTP/IMAP ya serîlêdanên e-nameyê, û ne seyrûsefera webê, tevbigerin, her çend piraniya bikarhêneran bi geroka HTTPS-ê digihîjin e-nameya xwe?
Ne hemî bernameyên e-nameyê ku bi riya SMTP û IMAP/POP3 dixebitin bikarhêner ji xeletiyan diparêzin, nahêlin ku ew têketin û şîfreya xwe bi riya pêwendiyek ne ewledar an lihevkirî bişîne, her çend li gorî standardê be. , ku di sala 2018-an de hatî pejirandin (û di Mail.ru de pir berê hatî bicîh kirin), divê ew bikarhêner ji navgîniya şîfreyê bi her girêdanek ne ewledar biparêzin. Wekî din, protokola OAuth pir kêm di xerîdarên e-nameyê de tê bikar anîn (ew ji hêla serverên nameyê ve Mail.ru ve tê piştgirî kirin), û bêyî wê, têketin û şîfre di her danişînê de têne şandin.
Dibe ku gerok li hember êrişên Man-in-the-Middle hinekî çêtir werin parastin. Li ser hemî domên krîtîk ên mail.ru, ji bilî HTTPS, polîtîkaya HSTS (ewlehiya veguhestina hişk a HTTP) çalak e. Digel ku HSTS çalak e, gerokek nûjen vebijarkek hêsan nade bikarhêner ku sertîfîkayek sexte qebûl bike, hetta ku bikarhêner bixwaze. Digel HSTS-ê, bikarhêner bi vê yekê xilas bûn ku ji sala 2017-an vir ve, serverên SMTP, IMAP û POP3 yên Mail.ru veguheztina şîfreyan li ser pêwendiyek ne ewledar qedexe dikin, hemî bikarhênerên me ji bo gihîştina bi SMTP, POP3 û IMAP TLS bikar anîn, û Ji ber vê yekê têketin û şîfre tenê heke bikarhêner bi xwe razî be ku sertîfîkaya xapînok qebûl bike, têketin û şîfre dikare were girtin.
Ji bo bikarhênerên mobîl, em her gav pêşniyar dikin ku ji bo gihîştina e-nameyê serîlêdanên Mail.ru bikar bînin, ji ber ku ... xebata bi nameyê di wan de ji gerok an xerîdarên SMTP/IMAP-ê yên çêkirî ewletir e.
Divê çi bê kirin
Pêdivî ye ku firmware MikroTik RouterOS bi guhertoyek ewledar nûve bike. Ger ji ber hin sedeman ev ne mumkin be, pêdivî ye ku seyrûsefera li ser porta 8291 (tcp û udp) were fîlter kirin, ev ê karanîna pirsgirêkê tevlihev bike, her çend ew ê îhtîmala derzîlêdana pasîf di nav cache DNS de ji holê ranebe. ISP divê vê portê li ser torên xwe fîlter bikin da ku bikarhênerên pargîdanî biparêzin.
Hemî bikarhênerên ku sertîfîkayek veguheztin qebûl kirin divê bilez şîfreya e-name û karûbarên din ên ku ev sertîfîka ji bo wan hatî pejirandin biguhezînin. Ji aliyê xwe ve, em ê bikarhênerên ku bi navgîniya amûrên xizan ve digihîjin e-nameyê agahdar bikin.
PS Di heman demê de qelsiyek têkildar jî heye ku di postê de tête diyar kirin "".
Source: www.habr.com