මාර්තු 10 වන දින සවස Mail.ru උපකාරක සේවාව ඊමේල් වැඩසටහන් හරහා Mail.ru IMAP/SMTP සේවාදායකයන් වෙත සම්බන්ධ වීමට ඇති නොහැකියාව පිළිබඳව පරිශීලකයින්ගෙන් පැමිණිලි ලැබීමට පටන් ගත්තේය. ඒ සමගම, සමහර සම්බන්ධතා හරහා නොගිය අතර, සමහරක් සහතික දෝෂයක් පෙන්වයි. "සේවාදායකය" ස්වයං-අත්සන් කළ TLS සහතිකයක් නිකුත් කිරීම නිසා දෝෂය ඇති විය.
දින දෙකක් තුළ, විවිධ ජාලවල සහ විවිධ උපාංග සමඟ පරිශීලකයින්ගෙන් පැමිණිලි 10 කට වඩා වැඩි ප්රමාණයක් පැමිණ ඇති අතර, මෙම ගැටළුව කිසියම් සැපයුම්කරුවෙකුගේ ජාලයේ ඇති බව සිතිය නොහැක. ගැටලුව පිළිබඳ වඩාත් සවිස්තරාත්මක විශ්ලේෂණයකින් හෙළි වූයේ imap.mail.ru සේවාදායකය (මෙන්ම අනෙකුත් තැපැල් සේවාදායකයන් සහ සේවාවන්) DNS මට්ටමින් ප්රතිස්ථාපනය කරන බවයි. තවද, අපගේ පරිශීලකයින්ගේ සක්රීය සහාය ඇතිව, හේතුව ඔවුන්ගේ රවුටරයේ හැඹිලියේ වැරදි ලෙස ඇතුළත් කිරීම බව අපට පෙනී ගියේය, එය දේශීය ඩීඑන්එස් විසඳුමකි, සහ බොහෝ (නමුත් සියල්ල නොවේ) අවස්ථා වලදී මයික්රොටික් බවට පත් විය. උපාංගය, කුඩා ආයතනික ජාලවල සහ කුඩා අන්තර්ජාල සපයන්නන්ගෙන් ඉතා ජනප්රියයි.
ප්රශ්නය කුමක් ද
2019 සැප්තැම්බර් මාසයේදී පර්යේෂකයන් DNS හැඹිලි විෂ ප්රහාරයකට ඉඩ දුන් MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979) හි දුර්වලතා කිහිපයක්, i.e. රවුටරයේ DNS හැඹිලියේ DNS වාර්තා වංචා කිරීමේ හැකියාව, සහ CVE-2019-3978 මඟින් ප්රහාරකයාට අභ්යන්තර ජාලයෙන් කෙනෙකු තම DNS සේවාදායකයට ඇතුල්වීමක් ඉල්ලා සිටින තෙක් බලා නොසිට විසඳන හැඹිලිය විෂ කිරීමට ඉඩ සලසයි. වරාය 8291 (UDP සහ TCP) හරහා තමා විසින්ම ඉල්ලීමක්. RouterOS 6.45.7 (ස්ථාවර) සහ 6.44.6 (දිගු කාලීන) අනුවාද වල MikroTik විසින් 28 ඔක්තෝම්බර් 2019 වන දින අවදානම නිරාකරණය කරන ලදී, නමුත් අනුව බොහෝ පරිශීලකයින් දැනට පැච් ස්ථාපනය කර නොමැත.
මෙම ගැටළුව දැන් "සජීවී" ලෙස ක්රියාශීලීව සූරාකෑමට ලක්වන බව පැහැදිලිය.
එය භයානක වන්නේ ඇයි?
ප්රහාරකයෙකුට අභ්යන්තර ජාලයේ පරිශීලකයෙකු විසින් ප්රවේශ වූ ඕනෑම ධාරකයක DNS වාර්තාවක් වංචා කළ හැකි අතර එමඟින් එයට ගමනාගමනය බාධා කළ හැකිය. සංවේදී තොරතුරු සංකේතනයකින් තොරව සම්ප්රේෂණය කරන්නේ නම් (උදාහරණයක් ලෙස, TLS නොමැතිව http:// හරහා) හෝ පරිශීලකයා ව්යාජ සහතිකයක් පිළිගැනීමට එකඟ වන්නේ නම්, ප්රහාරකයාට පිවිසුමක් හෝ මුරපදයක් වැනි සම්බන්ධතාවය හරහා යවන සියලුම දත්ත ලබා ගත හැක. අවාසනාවකට මෙන්, ප්රායෝගිකව පෙන්නුම් කරන්නේ පරිශීලකයෙකුට ව්යාජ සහතිකයක් පිළිගැනීමට අවස්ථාවක් තිබේ නම්, ඔහු එයින් ප්රයෝජන ගන්නා බවයි.
ඇයි SMTP සහ IMAP සේවාදායකයන්, සහ පරිශීලකයින් සුරැකි දේ
බොහෝ පරිශීලකයින් HTTPS බ්රවුසරය හරහා ඔවුන්ගේ තැපෑලට ප්රවේශ වුවද, වෙබ් ගමනාගමනය නොව විද්යුත් තැපැල් යෙදුම්වල SMTP/IMAP ගමනාගමනයට බාධා කිරීමට ප්රහාරකයන් උත්සාහ කළේ ඇයි?
SMTP සහ IMAP/POP3 හරහා ක්රියාත්මක වන සියලුම විද්යුත් තැපැල් වැඩසටහන් ප්රමිතියට අනුව වුවද, අනාරක්ෂිත හෝ සම්මුති විරහිත සම්බන්ධතාවයක් හරහා පිවිසුම් සහ මුරපදය යැවීමෙන් පරිශීලකයා දෝෂ වලින් ආරක්ෂා නොකරයි. , 2018 දී නැවත සම්මත කරන ලදී (සහ බොහෝ කලකට පෙර Mail.ru හි ක්රියාත්මක කරන ලදී), ඔවුන් ඕනෑම අනාරක්ෂිත සම්බන්ධතාවයක් හරහා පරිශීලකයා මුරපද බාධාවකින් ආරක්ෂා කළ යුතුය. මීට අමතරව, OAuth ප්රොටෝකෝලය විද්යුත් තැපැල් සේවාදායකයින් තුළ ඉතා කලාතුරකින් භාවිතා වේ (එය Mail.ru තැපැල් සේවාදායකයන් විසින් සහාය දක්වයි), එය නොමැතිව, එක් එක් සැසිය තුළ පිවිසුම් සහ මුරපදය සම්ප්රේෂණය වේ.
මෑන්-ඉන්-ද-මිඩ්ල් ප්රහාරවලට එරෙහිව බ්රවුසර් ටිකක් හොඳින් ආරක්ෂා විය හැක. සියලුම mail.ru තීරණාත්මක වසම් වල, HTTPS වලට අමතරව, HSTS (HTTP දැඩි ප්රවාහන ආරක්ෂණ) ප්රතිපත්තිය සක්රීය කර ඇත. HSTS සක්රීය කර ඇති, නවීන බ්රවුසරයක් පරිශීලකයාට අවශ්ය වුවද ව්යාජ සහතිකයක් පිළිගැනීමට පහසු විකල්පයක් ලබා නොදේ. HSTS වලට අමතරව, 2017 සිට, Mail.ru හි SMTP, IMAP සහ POP3 සේවාදායකයන් අනාරක්ෂිත සම්බන්ධතාවයක් හරහා මුරපද මාරු කිරීම තහනම් කරයි, අපගේ සියලුම පරිශීලකයින් SMTP, POP3 සහ IMAP හරහා ප්රවේශය සඳහා TLS භාවිතා කර ඇත. එබැවින් පිවිසුම් සහ මුරපදයට බාධා කළ හැක්කේ පරිශීලකයා විසින් වංචා කරන ලද සහතිකය පිළිගැනීමට එකඟ වුවහොත් පමණි.
ජංගම පරිශීලකයින් සඳහා, තැපැල් වෙත ප්රවේශ වීමට Mail.ru යෙදුම් භාවිතා කිරීම අපි සැමවිටම නිර්දේශ කරමු, මන්ද... ඒවා තුළ තැපෑල සමඟ වැඩ කිරීම බ්රවුසර හෝ බිල්ට් SMTP/IMAP සේවාලාභීන්ට වඩා ආරක්ෂිත වේ.
කළ යුතු දේ
MikroTik RouterOS ස්ථිරාංග ආරක්ෂිත අනුවාදයකට යාවත්කාලීන කිරීම අවශ්ය වේ. කිසියම් හේතුවක් නිසා මෙය කළ නොහැකි නම්, 8291 වරායේ (tcp සහ udp) ගමනාගමනය පෙරීම අවශ්ය වේ, මෙය DNS හැඹිලියට උදාසීන එන්නත් කිරීමේ හැකියාව ඉවත් නොකරනු ඇතත්, ගැටළුව සූරාකෑම සංකීර්ණ කරනු ඇත. ආයතනික පරිශීලකයින් ආරක්ෂා කිරීම සඳහා ISPs මෙම වරාය ඔවුන්ගේ ජාලවල පෙරහන් කළ යුතුය.
ආදේශක සහතිකයක් පිළිගත් සියලුම පරිශීලකයින් මෙම සහතිකය පිළිගත් විද්යුත් තැපෑල සහ අනෙකුත් සේවාවන් සඳහා මුරපදය හදිසියේ වෙනස් කළ යුතුය. අපගේ කොටස සඳහා, අවදානමට ලක්විය හැකි උපාංග හරහා තැපැල් වෙත පිවිසෙන පරිශීලකයින්ට අපි දැනුම් දෙන්නෙමු.
PS පෝස්ටුවෙහි විස්තර කර ඇති අදාළ අවදානමක් ද ඇත "".
මූලාශ්රය: www.habr.com