پرو هوسٽر > بلاگ > انتظاميه > پنھنجي MikroTik تي RouterOS کي اپڊيٽ ڪريو

پنھنجي MikroTik تي RouterOS کي اپڊيٽ ڪريو

پنھنجي MikroTik تي RouterOS کي اپڊيٽ ڪريو
10 مارچ جي شام تي، Mail.ru سپورٽ سروس صارفين کان شڪايتون وصول ڪرڻ شروع ڪيو ته اي ميل پروگرامن ذريعي Mail.ru IMAP/SMTP سرورز سان ڳنڍڻ جي ناڪامي بابت. ساڳئي وقت، ڪجهه ڪنيڪشن ذريعي نه ويا، ۽ ڪجهه هڪ سرٽيفڪيٽ جي غلطي ڏيکاري. غلطي "سرور" پاران هڪ خود دستخط ٿيل TLS سرٽيفڪيٽ جاري ڪرڻ جي ڪري ٿي.
 
پنھنجي MikroTik تي RouterOS کي اپڊيٽ ڪريو
ٻن ڏينهن ۾، 10 کان وڌيڪ شڪايتون صارفين کان مختلف نيٽ ورڪن ۽ مختلف ڊوائيسز سان گڏ آيون، اهو ممڪن ناهي ته مسئلو ڪنهن هڪ فراهم ڪندڙ جي نيٽ ورڪ ۾ هجي. مسئلي جو وڌيڪ تفصيلي تجزيو ظاهر ڪيو ويو آهي ته imap.mail.ru سرور (انهي سان گڏ ٻيا ميل سرور ۽ خدمتون) DNS سطح تي تبديل ٿي رهيا آهن. وڌيڪ، اسان جي استعمال ڪندڙن جي فعال مدد سان، اسان اهو معلوم ڪيو ته سبب هڪ غلط داخلا هئي انهن جي روٽر جي ڪيش ۾، جيڪو پڻ هڪ مقامي ڊي اين ايس حل ڪندڙ آهي، ۽ جنهن ۾ ڪيترن ئي (پر سڀ نه) ڪيسن ۾ MikroTik نڪتو. ڊوائيس، تمام مشهور ننڍن ڪارپوريٽ نيٽ ورڪن ۽ ننڍن انٽرنيٽ فراهم ڪندڙن کان.

ڇا مسئلو آهي

سيپٽمبر 2019 ۾، محقق مليو MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979) ۾ ڪيترائي ڪمزوريون، جن کي اجازت ڏني وئي ڊي اين ايس ڪيش جي زهر جي حملي، يعني. راؤٽر جي ڊي اين ايس ڪيش ۾ ڊي اين ايس رڪارڊز کي چوري ڪرڻ جي صلاحيت، ۽ CVE-2019-3978 حملي آور کي اجازت ڏئي ٿو ته هو اندروني نيٽ ورڪ مان ڪنهن ماڻهو جو انتظار نه ڪري ته هو پنهنجي DNS سرور تي داخل ٿيڻ جي درخواست ڪري ته جيئن حل ڪندڙ ڪيش کي زهر ڏئي، پر اهڙي قسم جي شروعات ڪرڻ لاءِ. هڪ درخواست پاڻ پورٽ 8291 (UDP ۽ TCP) ذريعي. 6.45.7 آڪٽوبر 6.44.6 تي RouterOS 28 (مستحڪم) ۽ 2019 (ڊگهي مدت) جي نسخن ۾ MikroTik پاران خطري کي طئي ڪيو ويو، پر مطابق تحقيق گھڻن صارفين في الحال پيچ نصب نه ڪيا آھن.

اهو ظاهر آهي ته اهو مسئلو هاڻي فعال طور تي استحصال ڪيو پيو وڃي "جيو".

ڇو ته خطرناڪ آهي

هڪ حملو ڪندڙ اندروني نيٽ ورڪ تي صارف طرفان رسائي ڪنهن به ميزبان جي ڊي اين ايس رڪارڊ کي چوري ڪري سگهي ٿو، ان ڪري ان ڏانهن ٽرئفڪ کي روڪيو. جيڪڏهن حساس معلومات انڪرپشن کان سواءِ منتقل ڪئي وڃي ٿي (مثال طور، مٿان http:// TLS کان سواءِ) يا صارف هڪ جعلي سرٽيفڪيٽ قبول ڪرڻ تي راضي ٿئي ٿو، حملو ڪندڙ اهو سڀ ڊيٽا حاصل ڪري سگهي ٿو جيڪو ڪنيڪشن ذريعي موڪليو ويو آهي، جهڙوڪ لاگ ان يا پاسورڊ. بدقسمتي سان، مشق ڏيکاري ٿو ته جيڪڏهن هڪ صارف کي جعلي سرٽيفڪيٽ قبول ڪرڻ جو موقعو آهي، هو ان جو فائدو وٺندو.

ڇو SMTP ۽ IMAP سرور، ۽ ڇا محفوظ ڪيو صارفين

ڇو حملي آورن اي ميل ايپليڪيشنن جي SMTP/IMAP ٽرئفڪ کي روڪڻ جي ڪوشش ڪئي، ۽ ويب ٽرئفڪ نه، جيتوڻيڪ اڪثر صارفين HTTPS برائوزر ذريعي پنهنجي ميل تائين رسائي ڪندا آهن؟

SMTP ۽ IMAP/POP3 ذريعي ڪم ڪندڙ سڀئي اي ميل پروگرام صارف کي غلطين کان بچائين ٿا، ان کي غير محفوظ يا سمجھوتي ڪنيڪشن ذريعي لاگ ان ۽ پاسورڊ موڪلڻ کان روڪين ٿا، جيتوڻيڪ معيار مطابق آر ايف سي سي ايم ايس، 2018 ۾ واپس اختيار ڪيو ويو (۽ گهڻو اڳ Mail.ru ۾ لاڳو ڪيو ويو)، انهن کي لازمي طور تي صارف کي ڪنهن به غير محفوظ ڪنيڪشن ذريعي پاسورڊ جي مداخلت کان بچائڻ گهرجي. ان کان علاوه، OAuth پروٽوڪول اي ميل ڪلائنٽ ۾ تمام گهٽ استعمال ڪيو ويندو آهي (اهو Mail.ru ميل سرورز جي مدد سان آهي)، ۽ ان کان سواء، لاگ ان ۽ پاسورڊ هر سيشن ۾ منتقل ڪيا ويندا آهن.

برائوزر شايد ٿورڙا بهتر ٿي سگھن ٿا انسان جي وچ ۾ حملن جي خلاف. سڀني mail.ru نازڪ ڊومينز تي، HTTPS کان علاوه، HSTS (HTTP سخت ٽرانسپورٽ سيڪيورٽي) پاليسي فعال ٿيل آهي. HSTS فعال ٿيڻ سان، جديد برائوزر صارف کي جعلي سرٽيفڪيٽ قبول ڪرڻ جو آسان اختيار نه ٿو ڏئي، جيتوڻيڪ صارف چاهي ٿو. HSTS کان علاوه، صارفين کي ان حقيقت کان بچايو ويو آهي ته 2017 کان، Mail.ru جي SMTP، IMAP ۽ POP3 سرورز کي غير محفوظ ڪنيڪشن تي پاسورڊ جي منتقلي کي روڪيو ويو آهي، اسان جي سڀني صارفين SMTP، POP3 ۽ IMAP ذريعي رسائي لاء TLS استعمال ڪيو، ۽ تنهن ڪري لاگ ان ۽ پاسورڊ صرف ان صورت ۾ مداخلت ڪري سگھن ٿا جڏهن استعمال ڪندڙ پاڻ کي ٺڳيءَ واري سرٽيفڪيٽ کي قبول ڪرڻ تي راضي ٿئي.

موبائيل استعمال ڪندڙن لاءِ، اسان هميشه صلاح ڏيون ٿا Mail.ru ايپليڪيشن استعمال ڪرڻ لاءِ ميل تائين رسائي، ڇاڪاڻ ته... انهن ۾ ميل سان ڪم ڪرڻ برائوزرن يا بلٽ ان SMTP/IMAP ڪلائنٽس کان وڌيڪ محفوظ آهي.

ڇا ٿيڻ گهرجي

اهو ضروري آهي ته MikroTik RouterOS فرمائيندڙ کي هڪ محفوظ ورزن تائين تازه ڪاري ڪرڻ گهرجي. جيڪڏهن ڪجهه سببن لاء اهو ممڪن ناهي، اهو ضروري آهي ته پورٽ 8291 (tcp ۽ udp) تي ٽرئفڪ کي فلٽر ڪرڻ، اهو مسئلو جي استحصال کي پيچيده ڪندو، جيتوڻيڪ اهو DNS ڪيش ۾ غير فعال انجڻ جي امڪان کي ختم نه ڪندو. ISPs کي هن پورٽ کي فلٽر ڪرڻ گهرجي انهن جي نيٽ ورڪن تي ڪارپوريٽ صارفين جي حفاظت لاءِ. 

سڀئي استعمال ڪندڙ جيڪي متبادل سرٽيفڪيٽ قبول ڪن ٿا، فوري طور تي اي ميل ۽ ٻين خدمتن لاء پاسورڊ تبديل ڪرڻ گهرجي جن لاء هي سرٽيفڪيٽ قبول ڪيو ويو آهي. اسان جي حصي لاء، اسان صارفين کي مطلع ڪنداسين جيڪي خطرناڪ ڊوائيسز ذريعي ميل تائين رسائي ڪن ٿا.

پي ايس پڻ پوسٽ ۾ بيان ڪيل هڪ لاڳاپيل نقصان آهي لوڪاسافونوف "RouterOS ۾ بيڪپورٽ جو خطرو سوين هزارين ڊوائيسز کي خطري ۾ وجهي ٿو".

جو ذريعو: www.habr.com

تبصرو شامل ڪريو