În seara zilei de 10 martie, serviciul de asistență Mail.ru a început să primească plângeri de la utilizatori cu privire la incapacitatea de a se conecta la serverele IMAP/SMTP Mail.ru prin intermediul programelor de e-mail. În același timp, unele conexiuni nu au trecut, iar unele arată o eroare de certificat. Eroarea este cauzată de emiterea de către „server” a unui certificat TLS autosemnat.
În două zile, au venit peste 10 plângeri de la utilizatori dintr-o varietate de rețele și cu o varietate de dispozitive, ceea ce face puțin probabil ca problema să fie în rețeaua unui singur furnizor. O analiză mai detaliată a problemei a arătat că serverul imap.mail.ru (precum și alte servere și servicii de e-mail) este înlocuit la nivel DNS. În plus, cu ajutorul activ al utilizatorilor noștri, am descoperit că motivul a fost o intrare incorectă în memoria cache a routerului lor, care este și un rezolutor DNS local și care în multe (dar nu toate) cazuri s-a dovedit a fi MikroTik. dispozitiv, foarte popular în rețelele corporative mici și de la furnizorii mici de internet.
Care este problema
În septembrie 2019, cercetătorii mai multe vulnerabilități în MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), care au permis un atac de otrăvire a cache-ului DNS, de ex. capacitatea de a falsifica înregistrările DNS în memoria cache DNS a routerului, iar CVE-2019-3978 permite atacatorului să nu aștepte ca cineva din rețeaua internă să solicite o intrare pe serverul său DNS pentru a otrăvi memoria cache a rezolutorului, ci să inițieze astfel de o cerere însuși prin portul 8291 (UDP și TCP). Vulnerabilitatea a fost remediată de MikroTik în versiunile RouterOS 6.45.7 (stabil) și 6.44.6 (pe termen lung) pe 28 octombrie 2019, dar conform Majoritatea utilizatorilor nu au instalat în prezent patch-uri.
Este evident că această problemă este acum exploatată în mod activ „în direct”.
De ce este periculos
Un atacator poate falsifica înregistrarea DNS a oricărei gazde accesate de un utilizator în rețeaua internă, interceptând astfel traficul către aceasta. Dacă informațiile sensibile sunt transmise fără criptare (de exemplu, prin http:// fără TLS) sau utilizatorul este de acord să accepte un certificat fals, atacatorul poate obține toate datele care sunt trimise prin conexiune, cum ar fi un login sau o parolă. Din păcate, practica arată că dacă un utilizator are posibilitatea de a accepta un certificat fals, va profita de el.
De ce serverele SMTP și IMAP și ce a salvat utilizatorii
De ce au încercat atacatorii să intercepteze traficul SMTP/IMAP al aplicațiilor de e-mail, și nu traficul web, deși majoritatea utilizatorilor își accesează e-mailurile prin browserul HTTPS?
Nu toate programele de e-mail care funcționează prin SMTP și IMAP/POP3 protejează utilizatorul de erori, împiedicându-l să trimită login și parola printr-o conexiune nesecurizată sau compromisă, deși conform standardului , adoptate încă din 2018 (și implementate în Mail.ru mult mai devreme), acestea trebuie să protejeze utilizatorul de interceptarea parolei prin orice conexiune nesecurizată. În plus, protocolul OAuth este foarte rar folosit în clienții de e-mail (este suportat de serverele de mail Mail.ru), iar fără el, login-ul și parola sunt transmise în fiecare sesiune.
Browserele pot fi puțin mai bine protejate împotriva atacurilor Man-in-the-Middle. Pe toate domeniile critice mail.ru, pe lângă HTTPS, este activată politica HSTS (HTTP strict transport security). Cu HSTS activat, un browser modern nu oferă utilizatorului o opțiune ușoară de a accepta un certificat fals, chiar dacă utilizatorul dorește. Pe lângă HSTS, utilizatorii au fost salvați de faptul că din 2017, serverele SMTP, IMAP și POP3 ale Mail.ru interzic transferul de parole printr-o conexiune nesecurizată, toți utilizatorii noștri au folosit TLS pentru acces prin SMTP, POP3 și IMAP și prin urmare, autentificarea și parola pot intercepta numai dacă utilizatorul însuși este de acord să accepte certificatul falsificat.
Pentru utilizatorii de telefonie mobilă, recomandăm întotdeauna folosirea aplicațiilor Mail.ru pentru a accesa e-mailul, deoarece... lucrul cu e-mail în ele este mai sigur decât în browsere sau clienți SMTP/IMAP încorporați.
Ce să faceți
Este necesar să actualizați firmware-ul MikroTik RouterOS la o versiune sigură. Dacă din anumite motive acest lucru nu este posibil, este necesară filtrarea traficului pe portul 8291 (tcp și udp), acest lucru va complica exploatarea problemei, deși nu va elimina posibilitatea injectării pasive în cache-ul DNS. ISP-urile ar trebui să filtreze acest port în rețelele lor pentru a proteja utilizatorii corporativi.
Toți utilizatorii care au acceptat un certificat înlocuit trebuie să schimbe urgent parola pentru e-mail și pentru alte servicii pentru care a fost acceptat acest certificat. La rândul nostru, vom anunța utilizatorii care accesează e-mailul prin dispozitive vulnerabile.
PS Există, de asemenea, o vulnerabilitate asociată descrisă în postare "".
Sursa: www.habr.com