သင်၏ MikroTik တွင် RouterOS ကို အပ်ဒိတ်လုပ်ပါ။

မတ်လ 10 ရက်နေ့ ညနေတွင် Mail.ru ပံ့ပိုးကူညီမှုဝန်ဆောင်မှုသည် အီးမေးလ်ပရိုဂရမ်များမှတစ်ဆင့် Mail.ru IMAP/SMTP ဆာဗာများသို့ ချိတ်ဆက်နိုင်ခြင်း မရှိခြင်းနှင့်ပတ်သက်၍ သုံးစွဲသူများထံမှ တိုင်ကြားချက်များအား စတင်လက်ခံခဲ့သည်။ တစ်ချိန်တည်းမှာပင်၊ အချို့သောချိတ်ဆက်မှုများသည် ဖြတ်မသွားဘဲ၊ အချို့မှာ လက်မှတ်အမှားကိုပြသည်။ "ဆာဗာ" သည် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော TLS လက်မှတ်ကို ထုတ်ပေးခြင်းကြောင့် အမှားအယွင်းဖြစ်ရသည်။
 

နှစ်ရက်အတွင်း၊ ကွန်ရက်အမျိုးမျိုးနှင့် စက်အမျိုးမျိုးရှိ သုံးစွဲသူများထံမှ တိုင်ကြားချက် ၁၀ ခုကျော် ဝင်လာသောကြောင့် ပြဿနာသည် မည်သည့်ဝန်ဆောင်မှုပေးသူ၏ကွန်ရက်တွင်မှ မပါရှိပေ။ ပြဿနာ၏အသေးစိတ်ပိုင်းခြားစိတ်ဖြာချက်တစ်ခုက imap.mail.ru ဆာဗာ (အပြင် အခြားမေးလ်ဆာဗာများနှင့် ဝန်ဆောင်မှုများ) ကို DNS အဆင့်တွင် အစားထိုးထားကြောင်း ဖော်ပြခဲ့သည်။ ထို့အပြင်၊ ကျွန်ုပ်တို့၏အသုံးပြုသူများ၏တက်ကြွသောအကူအညီဖြင့်၊ အကြောင်းအရင်းမှာ ၎င်းတို့၏ router ၏ cache တွင် မှားယွင်းသောဝင်ရောက်မှုတစ်ခုဖြစ်ပြီး၊ ၎င်းမှာ local DNS ဖြေရှင်းသည့်ကိရိယာတစ်ခုလည်းဖြစ်ပြီး အများအပြား (သို့သော်အားလုံးမဟုတ်ပါ) ကိစ္စများတွင် MikroTik ဖြစ်လာခဲ့သည် သေးငယ်သော ကော်ပိုရိတ်ကွန်ရက်များနှင့် အင်တာနက်ဝန်ဆောင်မှုပေးသူများထံမှ အလွန်ရေပန်းစားသော ကိရိယာ။

ပြသနာကဘာလဲ

2019 ခုနှစ် စက်တင်ဘာလတွင် သုတေသီများ တွေ့ပြီ MikroTik RouterOS (CVE-2019-3976၊ CVE-2019-3977၊ CVE-2019-3978၊ CVE-2019-3979) တွင် အားနည်းချက်များစွာရှိသည့် DNS cache အဆိပ်သင့်တိုက်ခိုက်မှုကို ခွင့်ပြုထားသည့် ဥပမာ၊ Router ၏ DNS cache တွင် DNS မှတ်တမ်းများကို အတုအယောင်ပြုလုပ်နိုင်စွမ်းရှိပြီး CVE-2019-3978 သည် တိုက်ခိုက်သူအား ဖြေရှင်းသူကက်ရှ်ကို အဆိပ်သင့်စေရန်အတွက် အတွင်းပိုင်းကွန်ရက်မှ တစ်စုံတစ်ဦးအား ၎င်း၏ DNS ဆာဗာတွင် ဝင်ခွင့်တောင်းဆိုရန် စောင့်ဆိုင်းရန် ခွင့်ပြုသော်လည်း ထိုသို့လုပ်ဆောင်ရန်၊ port 8291 (UDP နှင့် TCP) မှတဆင့် တောင်းဆိုချက်တစ်ခု။ အားနည်းချက်ကို MikroTik မှ RouterOS 6.45.7 (stable) နှင့် 6.44.6 (ရေရှည်) ဗားရှင်းများတွင် 28 ခုနှစ်၊ အောက်တိုဘာလ 2019 ရက်နေ့တွင် ပြင်ဆင်ခဲ့သည်၊ သုတေသန အသုံးပြုသူအများစုသည် လက်ရှိတွင် ဖာထေးမှုများကို ထည့်သွင်းမထားပါ။

ဤပြဿနာသည် ယခု “တိုက်ရိုက်” အသုံးချခံနေရသည်မှာ ထင်ရှားပါသည်။

အဘယ်ကြောင့် အန္တရာယ်ရှိသနည်း။

တိုက်ခိုက်သူသည် အတွင်းကွန်ရက်ပေါ်ရှိ အသုံးပြုသူမှဝင်ရောက်သည့် host ၏ DNS မှတ်တမ်းကို အတုခိုးနိုင်ပြီး ၎င်းသို့လမ်းကြောင်းများကို ကြားဖြတ်တားဆီးနိုင်သည်။ အရေးကြီးသောအချက်အလက်များကို ကုဒ်ဝှက်ခြင်းမရှိဘဲ (ဥပမာ၊ http:// မပါဘဲ TLS မှတဆင့်) သို့မဟုတ် အသုံးပြုသူက လက်မှတ်အတုကို လက်ခံရန် သဘောတူပါက၊ တိုက်ခိုက်သူသည် လော့ဂ်အင် သို့မဟုတ် စကားဝှက်ကဲ့သို့သော ချိတ်ဆက်မှုမှတစ်ဆင့် ပေးပို့သည့်ဒေတာအားလုံးကို ရယူနိုင်သည်။ ကံမကောင်းစွာဖြင့်၊ အသုံးပြုသူတစ်ဦးသည် လက်မှတ်အတုကို လက်ခံခွင့်ရပါက ၎င်းကို အခွင့်ကောင်းယူမည်ဖြစ်ကြောင်း လက်တွေ့ပြသသည်။

အဘယ်ကြောင့် SMTP နှင့် IMAP ဆာဗာများနှင့် အသုံးပြုသူများကို သိမ်းဆည်းထားသနည်း။

သုံးစွဲသူအများစုသည် HTTPS ဘရောက်ဆာမှတစ်ဆင့် ၎င်းတို့၏မေးလ်ကို ဝင်ရောက်ကြည့်ရှုကြသော်လည်း၊ တိုက်ခိုက်သူများသည် အီးမေးလ်အပလီကေးရှင်းများ၏ SMTP/IMAP အသွားအလာကို အဘယ်ကြောင့် ကြားဖြတ်တားဆီးရန် ကြိုးစားခဲ့ကြသနည်း။

စံနှုန်းအတိုင်းဖြစ်သော်လည်း SMTP နှင့် IMAP/POP3 မှတစ်ဆင့် အလုပ်လုပ်သော အီးမေးလ်ပရိုဂရမ်အားလုံးသည် သုံးစွဲသူအား အမှားအယွင်းများမှ ကာကွယ်ပေးကာ လုံခြုံမှုမရှိသော သို့မဟုတ် ဖောက်ပြန်ပျက်စီးနေသည့် ချိတ်ဆက်မှုမှတစ်ဆင့် လော့ဂ်အင်နှင့် စကားဝှက်ကို ပေးပို့ခြင်းမှ ကာကွယ်ပေးသည်။ RFC 83142018 ခုနှစ်တွင် ပြန်လည်လက်ခံခဲ့ပြီး (Mail.ru တွင် အစောပိုင်းတွင် အကောင်အထည်ဖော်ခဲ့သည်)၊ ၎င်းတို့သည် သုံးစွဲသူအား လုံခြုံသောချိတ်ဆက်မှုမှမဆို စကားဝှက်ကြားဖြတ်ခြင်းမှ ကာကွယ်ရမည်ဖြစ်သည်။ ထို့အပြင်၊ OAuth ပရိုတိုကောကို အီးမေးလ်ကလိုင်းယင့်များတွင် အလွန်ရှားရှားပါးပါး (၎င်းကို Mail.ru မေးလ်ဆာဗာများက ပံ့ပိုးထားသည်)၊ ၎င်းမပါဘဲ၊ အကောင့်ဝင်ခြင်းနှင့် စကားဝှက်များကို စက်ရှင်တစ်ခုစီတွင် ထုတ်လွှင့်ပါသည်။

ဘရောက်ဆာများသည် Man-in-the-Middle တိုက်ခိုက်မှုများကို အနည်းငယ် ပိုကောင်းအောင် ကာကွယ်ထားနိုင်သည်။ mail.ru အရေးပါသော ဒိုမိန်းများအားလုံးတွင် HTTPS အပြင် HSTS (HTTP တင်းကျပ်သော သယ်ယူပို့ဆောင်ရေးလုံခြုံရေး) မူဝါဒကို ဖွင့်ထားသည်။ HSTS ကိုဖွင့်ထားခြင်းဖြင့်၊ ခေတ်မီဘရောက်ဆာတစ်ခုသည် သုံးစွဲသူအား အသိအမှတ်ပြုလက်မှတ်အတုကိုလက်ခံရန် လွယ်ကူသောရွေးချယ်ခွင့်ကိုမပေးပေ။ HSTS အပြင်၊ 2017 ခုနှစ်မှစ၍ Mail.ru ၏ SMTP၊ IMAP နှင့် POP3 ဆာဗာများသည် လုံခြုံမှုမရှိသောချိတ်ဆက်မှုတစ်ခုမှ စကားဝှက်များလွှဲပြောင်းခြင်းကို တားမြစ်ထားသောကြောင့် ကျွန်ုပ်တို့၏အသုံးပြုသူများအားလုံးသည် SMTP၊ POP3 နှင့် IMAP မှတစ်ဆင့် ဝင်ရောက်အသုံးပြုရန်အတွက် TLS ကိုအသုံးပြု၍ လည်းကောင်း၊ ထို့ကြောင့် အသုံးပြုသူကိုယ်တိုင် အယောင်ဆောင်ထားသော လက်မှတ်ကို လက်ခံရန် သဘောတူမှသာ အကောင့်ဝင်ခြင်းနှင့် စကားဝှက်ကို ကြားဖြတ်နိုင်သည်။

မိုဘိုင်းလ်အသုံးပြုသူများအတွက် Mail.ru အက်ပလီကေးရှင်းများကို အသုံးပြုရန် ကျွန်ုပ်တို့ အမြဲအကြံပြုလိုသည်မှာ အကြောင်းမှာ... ၎င်းတို့တွင် mail ဖြင့်အလုပ်လုပ်ခြင်းသည် ဘရောက်ဆာများ သို့မဟုတ် built-in SMTP/IMAP client များထက် ပိုလုံခြုံပါသည်။

ဘာလုပ်သင့်လဲ

MikroTik RouterOS firmware ကို လုံခြုံသောဗားရှင်းသို့ အပ်ဒိတ်လုပ်ရန် လိုအပ်ပါသည်။ အကြောင်းတစ်စုံတစ်ရာကြောင့် ၎င်းသည် မဖြစ်နိုင်ပါက၊ port 8291 (tcp နှင့် udp) တွင် traffic ကို စစ်ထုတ်ရန် လိုအပ်သော်လည်း၊ ၎င်းသည် DNS cache သို့ passive injection ဖြစ်နိုင်ချေကို ဖယ်ရှားမည်မဟုတ်သော်လည်း၊ ၎င်းသည် ပြဿနာ၏ exploitation ကို ရှုပ်ထွေးစေမည်ဖြစ်သည်။ ISP များသည် ကော်ပိုရိတ်အသုံးပြုသူများကို ကာကွယ်ရန်အတွက် ၎င်းတို့၏ကွန်ရက်များပေါ်တွင် ဤ port ကို စစ်ထုတ်သင့်သည်။ 

အစားထိုးလက်မှတ်ကို လက်ခံအသုံးပြုသူအားလုံးသည် ဤလက်မှတ်ကို လက်ခံထားသည့် အီးမေးလ်နှင့် အခြားဝန်ဆောင်မှုများအတွက် စကားဝှက်ကို အရေးပေါ်ပြောင်းသင့်သည်။ ကျွန်ုပ်တို့ဘက်မှ၊ အားနည်းချက်ရှိသော စက်များမှတစ်ဆင့် မေးလ်ကို ဝင်ရောက်အသုံးပြုသူများကို ကျွန်ုပ်တို့ အသိပေးပါမည်။

PS တွင် ဖော်ပြထားသော ဆက်စပ်အားနည်းချက်တစ်ခုလည်း ရှိသေးသည်။ LukaSafonov "RouterOS ရှိ Backport Vulnerability သည် စက်ထောင်ပေါင်းများစွာကို ခြိမ်းခြောက်နေသည်".

source: www.habr.com