د مارچ د 10 په ماښام، د Mail.ru مالتړ خدمت د کاروونکو لخوا د بریښنالیک پروګرامونو له لارې د Mail.ru IMAP/SMTP سرورونو سره د نښلولو نشتوالي په اړه شکایتونه ترلاسه کول پیل کړل. په ورته وخت کې، ځینې اړیکې نه دي تللي، او ځینې یې د سند تېروتنه ښیې. تېروتنه د "سرور" له امله رامینځته شوې چې د ځان لاسلیک شوي TLS سند صادروي.
په دوه ورځو کې، له 10 څخه ډیر شکایتونه د کاروونکو لخوا په مختلفو شبکو او د مختلفو وسیلو سره راغلل، دا امکان نلري چې ستونزه د کوم یو برابرونکي په شبکه کې وي. د ستونزې ډیر تفصیلي تحلیل څرګنده کړه چې imap.mail.ru سرور (همدارنګه نور میل سرورونه او خدمات) د DNS په کچه بدلیږي. سربیره پردې ، زموږ د کاروونکو فعالې مرستې سره ، موږ وموندله چې لامل یې د دوی د روټر کیچ کې غلط ننوتل و ، کوم چې د DNS محلي حل کونکی هم دی ، او کوم چې په ډیری (مګر ټولو نه) قضیو کې مایکرو ټیک وګرځید. وسیله، په کوچنیو کارپوریټ شبکو او د کوچنیو انټرنیټ چمتو کونکو څخه خورا مشهور.
څه مشکل ده
د سپتمبر په 2019 کې، څیړونکي په MikroTik RouterOS کې ډیری زیانونه (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979)، کوم چې د DNS کیچ زهرجن برید ته اجازه ورکړې، د بیلګې په توګه. د روټر په DNS کیچ کې د DNS ریکارډونو جعل کولو وړتیا ، او CVE-2019-3978 برید کونکي ته اجازه ورکوي چې د داخلي شبکې څخه یو چا ته انتظار ونه کړي ترڅو د حل کونکي کیچ مسموم کولو لپاره په خپل DNS سرور کې د ننوتلو غوښتنه وکړي ، مګر داسې پیل کړي. د پورټ 8291 (UDP او TCP) له لارې پخپله غوښتنه. زیانمنتیا د MikroTik لخوا د RouterOS 6.45.7 (مستحکم) او 6.44.6 (اوږدمهاله) نسخو کې د اکتوبر په 28، 2019 کې ټاکل شوې وه، مګر په وینا ډیری کاروونکو اوس مهال پیچونه ندي نصب کړي.
دا څرګنده ده چې دا ستونزه اوس په فعاله توګه "ژوندی" کارول کیږي.
ولې خطرناک دی
یو برید کونکی کولی شي په داخلي شبکه کې د کارونکي لخوا لاسرسي شوي هر کوربه DNS ریکارډ غلا کړي ، په دې توګه دې ته ترافیک مداخله کوي. که حساس معلومات د کوډ کولو پرته لیږدول کیږي (د مثال په توګه د TLS پرته http:// څخه) یا کارونکي د جعلي سند منلو سره موافق وي، برید کوونکی کولی شي ټول هغه معلومات ترلاسه کړي چې د پیوستون له لارې لیږل کیږي، لکه د ننوتلو یا پټنوم. له بده مرغه، تمرین ښیې چې که یو کاروونکي د جعلي سند منلو فرصت ولري، نو هغه به ترې ګټه پورته کړي.
ولې SMTP او IMAP سرورونه، او کوم کاروونکي خوندي کړي
ولې برید کونکو هڅه وکړه چې د بریښنالیک غوښتنلیکونو SMTP/IMAP ترافیک مخه ونیسي ، نه د ویب ترافیک ، که څه هم ډیری کارونکي د HTTPS براوزر له لارې خپل بریښنالیک ته لاسرسی لري؟
ټول بریښنالیک پروګرامونه چې د SMTP او IMAP/POP3 له لارې کار کوي کارونکي د غلطیو څخه نه ساتي، هغه د غیر خوندي یا جوړ شوي ارتباط له لارې د ننوتلو او پټنوم لیږلو مخه نیسي، که څه هم د معیار سره سم ، په 2018 کې بیرته تصویب شوی (او ډیر دمخه په Mail.ru کې پلي شوی) ، دوی باید کارونکي د هرډول غیر خوندي پیوستون له لارې د پټنوم مداخلې څخه وساتي. سربیره پردې ، د OAuth پروتوکول په بریښنالیک پیرودونکو کې خورا لږ کارول کیږي (دا د Mail.ru میل سرورونو لخوا ملاتړ کیږي) ، او له دې پرته ، په هره ناسته کې ننوتل او پټنوم لیږدول کیږي.
براوزر ممکن یو څه ښه خوندي وي د مینځني مینځني مینځلو بریدونو پروړاندې. په ټولو mail.ru مهمو ډومینونو کې، د HTTPS سربیره، د HSTS (HTTP سخت ټرانسپورټ امنیت) پالیسي فعاله ده. د HSTS فعالولو سره، یو عصري براوزر کارونکي ته د جعلي سند منلو لپاره اسانه اختیار نه ورکوي، حتی که کاروونکي وغواړي. د HSTS سربیره، کاروونکي د دې حقیقت له مخې خوندي شوي چې د 2017 راهیسې، د Mail.ru SMTP، IMAP او POP3 سرورونه په غیر خوندي پیوستون کې د پاسورډونو لیږد منع کوي، زموږ ټولو کاروونکو د SMTP، POP3 او IMAP له لارې د لاسرسي لپاره TLS کارولی، او له همدې امله ننوت او پټنوم یوازې هغه وخت مداخله کولی شي چې کارونکي پخپله د جعلي سند منلو سره موافق وي.
د ګرځنده کاروونکو لپاره، موږ تل د بریښنالیک ته د لاسرسي لپاره د Mail.ru غوښتنلیکونو کارولو وړاندیز کوو، ځکه چې ... په دوی کې د بریښنالیک سره کار کول د براوزرونو یا جوړ شوي SMTP/IMAP پیرودونکو په پرتله خوندي دي.
څه باید وشي
دا اړینه ده چې د MikroTik RouterOS فرم ویئر خوندي نسخه ته تازه کړئ. که د کوم دلیل لپاره دا ممکنه نه وي، نو اړینه ده چې په 8291 پورټ (tcp او udp) کې ترافیک فلټر کړئ، دا به د ستونزې استخراج پیچلي کړي، که څه هم دا به د DNS کیچ کې د غیر فعال انجیکشن احتمال له منځه یوسي. ISPs باید دا پورټ په خپلو شبکو کې فلټر کړي ترڅو د کارپوریټ کاروونکو ساتنه وکړي.
ټول هغه کاروونکي چې یو بدل شوی سند یې منلی باید سمدستي د بریښنالیک او نورو خدماتو لپاره پاسورډ بدل کړي چې دا سند یې منل شوی و. زموږ د برخې لپاره، موږ به هغه کاروونکو ته خبر ورکړو چې د زیان منونکو وسیلو له لارې بریښنالیک ته لاسرسی ومومي.
PS یو اړوند زیان هم شتون لري چې په پوسټ کې بیان شوي "".
سرچینه: www.habr.com