10. marta vakarā Mail.ru atbalsta dienests sāka saņemt lietotāju sūdzības par nespēju izveidot savienojumu ar Mail.ru IMAP/SMTP serveriem, izmantojot e-pasta programmas. Tajā pašā laikā daži savienojumi nenotika, un daži parāda sertifikāta kļūdu. Kļūdu izraisa "serveris", kas izsniedz pašparakstītu TLS sertifikātu.
Divu dienu laikā no lietotājiem dažādos tīklos un dažādās ierīcēs tika saņemtas vairāk nekā 10 sūdzības, tāpēc ir maz ticams, ka problēma ir kāda viena pakalpojumu sniedzēja tīklā. Detalizētāka problēmas analīze atklāja, ka serveris imap.mail.ru (kā arī citi pasta serveri un pakalpojumi) tiek aizstāts DNS līmenī. Turklāt ar aktīvu lietotāju palīdzību mēs noskaidrojām, ka iemesls bija nepareizs ieraksts viņu maršrutētāja kešatmiņā, kas ir arī vietējais DNS atrisinātājs un kas daudzos (bet ne visos) gadījumos izrādījās MikroTik. ierīce, kas ir ļoti populāra mazos korporatīvajos tīklos un no maziem interneta pakalpojumu sniedzējiem.
Kāda ir problēma
2019. gada septembrī pētnieki vairākas ievainojamības MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), kas ļāva veikt DNS kešatmiņas saindēšanās uzbrukumu, t.i. iespēja viltot DNS ierakstus maršrutētāja DNS kešatmiņā, un CVE-2019-3978 ļauj uzbrucējam nevis gaidīt, kamēr kāds no iekšējā tīkla pieprasīs ierakstu viņa DNS serverī, lai saindētu atrisinātāja kešatmiņu, bet gan iniciēt tādu. pats pieprasījums, izmantojot portu 8291 (UDP un TCP). Ievainojamību MikroTik laboja RouterOS 6.45.7 (stabila) un 6.44.6 (ilgtermiņa) versijās 28. gada 2019. oktobrī, taču saskaņā ar Lielākā daļa lietotāju pašlaik nav instalējuši ielāpus.
Ir acīmredzams, ka šī problēma šobrīd tiek aktīvi izmantota “tiešraidē”.
Kāpēc tas ir bīstami?
Uzbrucējs var viltot jebkura resursdatora DNS ierakstu, kuram lietotājs piekļūst iekšējā tīklā, tādējādi pārtverot trafiku uz to. Ja sensitīva informācija tiek pārsūtīta bez šifrēšanas (piemēram, izmantojot http:// bez TLS) vai lietotājs piekrīt pieņemt viltotu sertifikātu, uzbrucējs var iegūt visus datus, kas tiek nosūtīti, izmantojot savienojumu, piemēram, pieteikumvārdu vai paroli. Diemžēl prakse rāda, ka, ja lietotājam ir iespēja pieņemt viltotu sertifikātu, viņš to izmantos.
Kāpēc SMTP un IMAP serveri un kas izglāba lietotājus
Kāpēc uzbrucēji mēģināja pārtvert e-pasta lietojumprogrammu SMTP/IMAP trafiku, nevis tīmekļa trafiku, lai gan lielākā daļa lietotāju piekļūst savam pastam, izmantojot HTTPS pārlūkprogrammu?
Ne visas e-pasta programmas, kas darbojas, izmantojot SMTP un IMAP/POP3, aizsargā lietotāju no kļūdām, neļaujot viņam nosūtīt pieteikumvārdu un paroli, izmantojot neaizsargātu vai apdraudētu savienojumu, lai gan saskaņā ar standartu , kas pieņemti 2018. gadā (un Mail.ru ieviesti daudz agrāk), tiem ir jāaizsargā lietotājs no paroles pārtveršanas, izmantojot jebkādu nenodrošinātu savienojumu. Turklāt OAuth protokols e-pasta klientos tiek izmantots ļoti reti (to atbalsta Mail.ru pasta serveri), un bez tā pieteikšanās vārds un parole tiek pārsūtīti katrā sesijā.
Pārlūkprogrammas var būt nedaudz labāk aizsargātas pret Man-in-the-Middle uzbrukumiem. Visos mail.ru svarīgajos domēnos papildus HTTPS ir iespējota HSTS (HTTP stingra transporta drošība) politika. Ja ir iespējota HSTS, moderna pārlūkprogramma nedod lietotājam vienkāršu iespēju pieņemt viltotu sertifikātu, pat ja lietotājs to vēlas. Papildus HSTS lietotājus izglāba fakts, ka kopš 2017. gada Mail.ru SMTP, IMAP un POP3 serveri aizliedz paroļu pārsūtīšanu, izmantojot nedrošu savienojumu, visi mūsu lietotāji izmantoja TLS piekļuvei, izmantojot SMTP, POP3 un IMAP, un tāpēc pieteikumvārdu un paroli var pārtvert tikai tad, ja lietotājs pats piekrīt pieņemt viltoto sertifikātu.
Mobilo sakaru lietotājiem vienmēr iesakām izmantot Mail.ru lietojumprogrammas, lai piekļūtu pastam, jo... darbs ar pastu tajos ir drošāks nekā pārlūkprogrammās vai iebūvētajos SMTP/IMAP klientos.
Ko darīt
MikroTik RouterOS programmaparatūra ir jāatjaunina uz drošu versiju. Ja kāda iemesla dēļ tas nav iespējams, ir nepieciešams filtrēt trafiku portā 8291 (tcp un udp), tas sarežģīs problēmas izmantošanu, lai gan tas neizslēgs pasīvās ievadīšanas iespēju DNS kešatmiņā. ISP ir jāfiltrē šis ports savos tīklos, lai aizsargātu korporatīvos lietotājus.
Visiem lietotājiem, kuri pieņēma aizstāto sertifikātu, steidzami jāmaina parole e-pastam un citiem pakalpojumiem, kuriem šis sertifikāts tika pieņemts. No savas puses mēs informēsim lietotājus, kuri piekļūst pastam, izmantojot neaizsargātas ierīces.
PS Ir arī saistīta ievainojamība, kas aprakstīta ziņojumā "".
Avots: www.habr.com