Fil-għaxija tal-10 ta’ Marzu, is-servizz ta’ appoġġ ta’ Mail.ru beda jirċievi ilmenti mingħand l-utenti dwar l-inabbiltà li jikkonnettja mas-servers IMAP/SMTP ta’ Mail.ru permezz ta’ programmi tal-email. Fl-istess ħin, xi konnessjonijiet ma għaddewx, u xi wħud juru żball ta 'ċertifikat. L-iżball huwa kkawżat mis-"server" li joħroġ ċertifikat TLS iffirmat minnu nnifsu.
F'jumejn, daħlu aktar minn 10 ilmenti minn utenti fuq varjetà ta 'netwerks u b'varjetà ta' apparati, li jagħmilha improbabbli li l-problema kienet fin-netwerk ta 'xi fornitur wieħed. Analiżi aktar dettaljata tal-problema żvelat li s-server imap.mail.ru (kif ukoll servers u servizzi tal-posta oħra) qed jiġi sostitwit fil-livell DNS. Barra minn hekk, bl-għajnuna attiva tal-utenti tagħna, sibna li r-raġuni kienet dħul żbaljat fil-cache tar-router tagħhom, li huwa wkoll resolver DNS lokali, u li f'ħafna (iżda mhux fil-każijiet kollha) irriżulta li kien il-MikroTik. apparat, popolari ħafna f'netwerks korporattivi żgħar u minn fornituri żgħar tal-Internet.
X'inhi l-problema
F'Settembru 2019, ir-riċerkaturi diversi vulnerabbiltajiet f'MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), li ppermettew attakk ta' avvelenament tal-cache DNS, i.e. l-abbiltà li spoof rekords DNS fil-cache DNS tar-router, u CVE-2019-3978 jippermetti lill-attakkant ma jistenna li xi ħadd min-netwerk intern jitlob dħul fis-server DNS tiegħu sabiex ivvelena l-cache tas-solvent, iżda biex jibda tali. talba innifsu permezz tal-port 8291 (UDP u TCP). Il-vulnerabbiltà ġiet iffissata minn MikroTik f'verżjonijiet ta' RouterOS 6.45.7 (stabbli) u 6.44.6 (fit-tul) fit-28 ta' Ottubru 2019, iżda skont Il-biċċa l-kbira ta' l-utenti bħalissa għadhom ma installawx irqajja.
Huwa ovvju li din il-problema issa qed tiġi sfruttata b'mod attiv "live".
Għaliex huwa perikoluż
Attakkant jista' jiffoka r-rekord DNS ta' kwalunkwe host aċċessat minn utent fuq in-netwerk intern, u b'hekk jinterċetta t-traffiku għalih. Jekk informazzjoni sensittiva tiġi trażmessa mingħajr kriptaġġ (per eżempju, fuq http:// mingħajr TLS) jew l-utent jaqbel li jaċċetta ċertifikat falz, l-attakkant jista 'jikseb id-dejta kollha li tintbagħat permezz tal-konnessjoni, bħal login jew password. Sfortunatament, il-prattika turi li jekk utent ikollu l-opportunità li jaċċetta ċertifikat falz, jieħu vantaġġ minnu.
Għaliex is-servers SMTP u IMAP, u x'salva lill-utenti
Għaliex l-attakkanti ppruvaw jinterċettaw it-traffiku SMTP/IMAP tal-applikazzjonijiet tal-email, u mhux it-traffiku tal-web, għalkemm ħafna mill-utenti jaċċessaw il-posta tagħhom permezz tal-browser HTTPS?
Mhux il-programmi kollha tal-email li jaħdmu permezz tal-SMTP u l-IMAP/POP3 jipproteġu lill-utent mill-iżbalji, u jipprevjenuh milli jibgħat login u password permezz ta’ konnessjoni mhux assigurata jew kompromessa, għalkemm skont l-istandard , adottati lura fl-2018 (u implimentati f'Mail.ru ħafna qabel), iridu jipproteġu lill-utent mill-interċettazzjoni tal-password permezz ta 'kull konnessjoni mhux assigurata. Barra minn hekk, il-protokoll OAuth huwa rari ħafna użat fil-klijenti tal-email (huwa appoġġjat minn servers tal-posta Mail.ru), u mingħajru, il-login u l-password jiġu trażmessi f'kull sessjoni.
Il-browsers jistgħu jkunu protetti ftit aħjar kontra attakki Man-in-the-Middle. Fuq id-dominji kritiċi kollha tal-mail.ru, minbarra l-HTTPS, il-politika HSTS (HTTP strict transport security) hija attivata. Bl-HSTS attivat, browser modern ma jagħtix għażla faċli lill-utent biex jaċċetta ċertifikat falz, anki jekk l-utent irid. Minbarra l-HSTS, l-utenti ġew salvati mill-fatt li mill-2017, is-servers SMTP, IMAP u POP3 ta 'Mail.ru jipprojbixxu t-trasferiment ta' passwords fuq konnessjoni mhux assigurata, l-utenti tagħna kollha użaw TLS għal aċċess permezz ta 'SMTP, POP3 u IMAP, u għalhekk il-login u l-password jistgħu jinterċettaw biss jekk l-utent innifsu jaqbel li jaċċetta ċ-ċertifikat spoofed.
Għall-utenti mobbli, aħna dejjem nirrakkomandaw li tuża l-applikazzjonijiet Mail.ru biex taċċessa l-posta, għaliex... taħdem bil-posta fihom hija aktar sigura milli fil-browsers jew klijenti SMTP/IMAP integrati.
X'għandek tagħmel
Huwa meħtieġ li taġġorna l-firmware MikroTik RouterOS għal verżjoni sigura. Jekk għal xi raġuni dan ma jkunx possibbli, huwa meħtieġ li jiġi ffiltrat it-traffiku fuq il-port 8291 (tcp u udp), dan se jikkomplika l-isfruttament tal-problema, għalkemm mhux se jelimina l-possibbiltà ta 'injezzjoni passiva fil-cache DNS. L-ISPs għandhom jiffiltraw dan il-port fuq in-netwerks tagħhom biex jipproteġu lill-utenti korporattivi.
L-utenti kollha li aċċettaw ċertifikat sostitwit għandhom ibiddlu b'mod urġenti l-password għall-email u servizzi oħra li għalihom ġie aċċettat dan iċ-ċertifikat. Min-naħa tagħna, aħna se ninnotifikaw lill-utenti li jaċċessaw il-posta permezz ta’ apparati vulnerabbli.
PS Hemm ukoll vulnerabbiltà relatata deskritta fil-post "".
Sors: www.habr.com