Pridie Kalendas Martias vesperi X, Mail.ru ministerium subsidium acceptum ab usoribus querelis incepit de impotentia coniungere cum Mail.ru IMAP/SMTP servientibus per programmata electronica. In eodem tempore quaedam nexus non pervenerunt, et quaedam testimonium errorem ostendunt. Error causatur a "servo" testimonium TLS auto-signato fiebant.
Duobus diebus plus quam 10 querelae ab utentibus venerunt in variis reticulis et cum variis machinis, ut inconveniens esset quaestionem in retis alicuius provisoris fuisse. Accuratior analysin quaestionis patefecit imap.mail.ru server (velut alii servi electronici et officia) in gradu DNS substitui. Praeterea, ope activa utentium nostrorum, invenimus causam esse rectam ingressum in cella itineris sui, quae etiam DNS resolventis localis est, et quae in multis (sed non omnibus) casibus evenit ut MikroTik fabrica, valde populare in reticulis parvis corporatum et a parvis provisoribus interretialibus.
Quid est problema
Mense Septembri MMXIX, investigatores varia vulnera in MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), quibus veneficii impetum DNS cache permisit, i.e. facultas coquendi DNS monumenta in cella itineris DNS, et CVE-2019-3978 permittit impugnatorem non expectare aliquem ab retis internis ut petat ingressum a suo DNS servo ut venenum resolventis cache, sed inchoare talem ipse per portum 8291 (UDP et TCP). vulnerabilitas a MikroTik in versionibus RouterOS 6.45.7 (stabilis) et 6.44.6 (longum-term) die 28 Octobris 2019 firmata est, sed secundum Maxime users have not currently inaequaliter installed.
Manifestum est hanc quaestionem nunc actuose Β« vivere Β».
Quid est periculosum
Oppugnator exstare potest DNS testimonium hospitii cuiuslibet hospitii ab usore in retis internis accessi, inde commercium ei intercipiens. Si notitia sensitiva sine encryptione transmittitur (exempli gratia supra http:// sine TLS) vel usor consentit ad libellum fictum accipiendum, oppugnator omnia notitias per nexum emissas obtinere potest, ut login vel tessera. Infeliciter, praxis ostendit quod si usor facultatem habet certificatorium fictum accipiendi, ea lucrabitur.
Cur SMTP et IMAP servientes, et quid utentes servati sunt?
Cur oppugnatores SMTP/IMAP negotiatio applicationum electronicarum intercipere conantur, et non negotiatio interretialia, licet plurimi usores per HTTPS navigatrum accesserint?
Non omnes programmata electronica per SMTP et IMAP/POP3 usorem ab erroribus defendunt, quo minus rationis et tesserae per nexum insecutum vel suspectum mittant, quamvis secundum mensuram receptae anno 2018 (et in Mail.ru multo ante impleta) usorem a tessera interceptione per quemlibet insecutum nexum tueri debent. Praeterea protocollum OAuth rarissime in clientibus electronicis adhibitum est (supplentibus Mail.ru mail), et sine eo login et tessera in singulis sessionibus transmittuntur.
Navigatores contra Man-in-medias oppugnationes paulo tutiores esse possunt. In omnibus mail.ru ditionibus criticis, praeter HTTPS, HSTS (HTTP securitatis onerariae strictae) consilium potest. Cum HSTS parato, modernus navigator optionem usoris facilem non dat ut libellum fictum recipiat, etiamsi usor voluerit. Praeter HSTS, usores eo servati sunt quod ab 2017, SMTP, IMAP et POP3 servientibus Mail.ru prohibent translationem Tesserae per nexum insecutum, omnes nostri usores TLS usi sunt pro accessu per SMTP, POP3 et IMAP, ac quare login et tessera intercipere possunt tantum, si ipse usor testimonium spoofed accipere consentit.
Pro usoribus mobilibus, semper commendamus utendo Mail.ru applicationes ad epistulas accessendas, quia... operando cum mails in eis tutius est quam in navigatoribus vel in clientibus SMTP/IMAP constructis.
Quid faciam
Necesse est MikroTik RouterOS firmware renovare ad versionem securam. Si aliqua de causa id fieri non potest, necesse est mercaturam in portu 8291 (tcp et udp) spargere, problema abusionem implicabit, etsi facultatem iniectionis passivae in DNS caches non tollet. ISPs hunc portum eliquare debent in retiacula ad corporatos usores tuendos.
Omnes utentes qui testimonium substitutum acceperunt, instanter mutare debent tesseram electronicae et alia officia pro quibus hoc testimonium receptum est. Ex parte nostra, notificabimus utentes qui per vulnerabiles cogitationes accesserunt.
PS vulnerabilitas affinis etiam in poste descriptus est "".
Source: www.habr.com