Fil-għaxija tal-10 ta’ Marzu, is-servizz ta’ appoġġ ta’ Mail.ru beda jirċievi ilmenti mingħand l-utenti dwar l-inabbiltà li jikkonnettja mas-servers IMAP/SMTP ta’ Mail.ru permezz ta’ programmi tal-email. Fl-istess ħin, xi konnessjonijiet ma għaddewx, u xi wħud juru żball ta 'ċertifikat. L-iżball huwa kkawżat mis-"server" li joħroġ ċertifikat TLS iffirmat minnu nnifsu.
F'jumejn, daħlu aktar minn 10 ilmenti minn utenti fuq varjetà ta 'netwerks u b'varjetà ta' apparati, li jagħmilha improbabbli li l-problema kienet fin-netwerk ta 'xi fornitur wieħed. Analiżi aktar dettaljata tal-problema żvelat li s-server imap.mail.ru (kif ukoll servers u servizzi tal-posta oħra) qed jiġi sostitwit fil-livell DNS. Barra minn hekk, bl-għajnuna attiva tal-utenti tagħna, sibna li r-raġuni kienet dħul żbaljat fil-cache tar-router tagħhom, li huwa wkoll resolver DNS lokali, u li f'ħafna (iżda mhux fil-każijiet kollha) irriżulta li kien il-MikroTik. apparat, popolari ħafna f'netwerks korporattivi żgħar u minn fornituri żgħar tal-Internet.
X'inhi l-problema
F'Settembru 2019, ir-riċerkaturi
Huwa ovvju li din il-problema issa qed tiġi sfruttata b'mod attiv "live".
Għaliex huwa perikoluż
Attakkant jista' jiffoka r-rekord DNS ta' kwalunkwe host aċċessat minn utent fuq in-netwerk intern, u b'hekk jinterċetta t-traffiku għalih. Jekk informazzjoni sensittiva tiġi trażmessa mingħajr kriptaġġ (per eżempju, fuq http:// mingħajr TLS) jew l-utent jaqbel li jaċċetta ċertifikat falz, l-attakkant jista 'jikseb id-dejta kollha li tintbagħat permezz tal-konnessjoni, bħal login jew password. Sfortunatament, il-prattika turi li jekk utent ikollu l-opportunità li jaċċetta ċertifikat falz, jieħu vantaġġ minnu.
Għaliex is-servers SMTP u IMAP, u x'salva lill-utenti
Għaliex l-attakkanti ppruvaw jinterċettaw it-traffiku SMTP/IMAP tal-applikazzjonijiet tal-email, u mhux it-traffiku tal-web, għalkemm ħafna mill-utenti jaċċessaw il-posta tagħhom permezz tal-browser HTTPS?
Mhux il-programmi kollha tal-email li jaħdmu permezz tal-SMTP u l-IMAP/POP3 jipproteġu lill-utent mill-iżbalji, u jipprevjenuh milli jibgħat login u password permezz ta’ konnessjoni mhux assigurata jew kompromessa, għalkemm skont l-istandard
Il-browsers jistgħu jkunu protetti ftit aħjar kontra attakki Man-in-the-Middle. Fuq id-dominji kritiċi kollha tal-mail.ru, minbarra l-HTTPS, il-politika HSTS (HTTP strict transport security) hija attivata. Bl-HSTS attivat, browser modern ma jagħtix għażla faċli lill-utent biex jaċċetta ċertifikat falz, anki jekk l-utent irid. Minbarra l-HSTS, l-utenti ġew salvati mill-fatt li mill-2017, is-servers SMTP, IMAP u POP3 ta 'Mail.ru jipprojbixxu t-trasferiment ta' passwords fuq konnessjoni mhux assigurata, l-utenti tagħna kollha użaw TLS għal aċċess permezz ta 'SMTP, POP3 u IMAP, u għalhekk il-login u l-password jistgħu jinterċettaw biss jekk l-utent innifsu jaqbel li jaċċetta ċ-ċertifikat spoofed.
Għall-utenti mobbli, aħna dejjem nirrakkomandaw li tuża l-applikazzjonijiet Mail.ru biex taċċessa l-posta, għaliex... taħdem bil-posta fihom hija aktar sigura milli fil-browsers jew klijenti SMTP/IMAP integrati.
X'għandek tagħmel
Huwa meħtieġ li taġġorna l-firmware MikroTik RouterOS għal verżjoni sigura. Jekk għal xi raġuni dan ma jkunx possibbli, huwa meħtieġ li jiġi ffiltrat it-traffiku fuq il-port 8291 (tcp u udp), dan se jikkomplika l-isfruttament tal-problema, għalkemm mhux se jelimina l-possibbiltà ta 'injezzjoni passiva fil-cache DNS. L-ISPs għandhom jiffiltraw dan il-port fuq in-netwerks tagħhom biex jipproteġu lill-utenti korporattivi.
L-utenti kollha li aċċettaw ċertifikat sostitwit għandhom ibiddlu b'mod urġenti l-password għall-email u servizzi oħra li għalihom ġie aċċettat dan iċ-ċertifikat. Min-naħa tagħna, aħna se ninnotifikaw lill-utenti li jaċċessaw il-posta permezz ta’ apparati vulnerabbli.
PS Hemm ukoll vulnerabbiltà relatata deskritta fil-post
Sors: www.habr.com