Fiidnimadii Maarso 10, adeegga taageerada Mail.ru wuxuu bilaabay inuu helo cabashooyinka isticmaalayaasha ee ku saabsan awood la'aanta in lagu xiro server-yada Mail.ru IMAP/SMTP iyada oo loo marayo barnaamijyada iimaylka. Isla mar ahaantaana, xidhiidhada qaar ma soo marin, qaarna waxay muujinayaan khalad shahaado ah. Khaladka waxa keenay "server" oo soo saaraya shahaado TLS oo iskii u saxeexay.
Laba maalmood gudahood, in ka badan 10 cabashooyin ayaa ka yimid isticmaalayaasha shabakado kala duwan iyo qalabyo kala duwan, taas oo ka dhigaysa mid aan suurtagal ahayn in dhibaatadu ay ku jirto shabakad bixiye kasta. Falanqaynta faahfaahsan ee dhibaatada ayaa shaaca ka qaaday in imap.mail.ru server (iyo sidoo kale server-yada kale iyo adeegyada) lagu bedelayo heerka DNS. Dheeraad ah, annagoo kaashanayna isticmaaleyaashayada, waxaan ogaanay in sababtu ay ahayd galitaanka khaldan ee khasnadda routerkooda, kaas oo sidoo kale ah xallinta DNS maxalli ah, iyo kiis badan (laakiin aan ahayn dhammaan) kiisas ayaa noqday MikroTik Aalad, oo aad caan uga ah shabakadaha shirkadaha yaryar iyo kuwa bixiya internetka yaryar.
waa maxay dhibku
Sebtembar 2019, cilmi-baarayaal nuglaanta dhowr ah ee MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), kaas oo u oggolaaday weerarka sunta DNS cache, i.e. Awoodda lagu xakameen karo diiwaannada DNS ee khasnadda DNS ee router, iyo CVE-2019-3978 waxay u oggolaaneysaa qofka weerarka geystay inuusan sugin qof ka socda shabakadda gudaha si uu u codsado gelitaanka server-kiisa DNS si uu u sumeeyo kaydiyaha xallinta, laakiin si uu u bilaabo sidan oo kale. codsi laftiisa iyada oo loo marayo dekedda 8291 (UDP iyo TCP). Nuglaanta waxaa hagaajiyay MikroTik noocyada RouterOS 6.45.7 (xasilloon) iyo 6.44.6 (muddo dheer) Oktoobar 28, 2019, laakiin marka loo eego Isticmaalayaasha badankoodu hadda ma rakibin dhejisyo.
Way caddahay in dhibaatadan hadda si firfircoon looga faa'iidaysto "nool".
Maxay khatar u tahay?
Weeraryahanku wuxuu xumeyn karaa diiwaanka DNS ee martigeliyaha kasta oo uu galo isticmaale shabakadda gudaha, si uu u dhexgalo taraafikada. Haddii macluumaadka xasaasiga ah lagu gudbiyo qarsoodi la'aan (tusaale, in ka badan http:// iyada oo aan lahayn TLS) ama isticmaaluhu ogolaado inuu aqbalo shahaado been abuur ah, weeraryahanku wuxuu heli karaa dhammaan xogta lagu soo diro xiriirka, sida login ama erayga sirta ah. Nasiib darro, dhaqanku wuxuu muujinayaa in haddii isticmaaluhu uu haysto fursad uu ku aqbalo shahaado been abuur ah, wuu ka faa'iidaysan doonaa.
Waa maxay sababta SMTP iyo IMAP servers, iyo waxa badbaadiyey isticmaalayaasha
Maxay weeraryahannadu isku dayeen in ay dhexda u galaan taraafikada SMTP/IMAP ee codsiyada iimaylka, oo aanay ahayn taraafikada shabakadda, in kasta oo isticmaaleyaasha intooda badani ay ka helaan boostadooda browserka HTTPS?
Ma aha dhammaan barnaamijyada iimaylka ee ka shaqeeya SMTP iyo IMAP/POP3 inay ka ilaaliyaan isticmaalaha khaladaadka, ka hortagga inuu u soo diro gelitaanka iyo erayga sirta ah iyada oo loo marayo xiriir aan la hubin ama la jabin, inkasta oo sida waafaqsan heerka , dib loo qaatay 2018 (oo lagu hirgeliyay Mail.ru wax badan ka hor), waa inay ka ilaaliyaan isticmaalaha faragelinta erayga sirta ah iyada oo loo marayo xiriir kasta oo aan la hubin. Intaa waxaa dheer, borotokoolka OAuth aad ayey dhif ugu tahay macaamiisha iimaylka (waxaa taageera server-yada Mail.ru), la'aanteed, gelitaanka iyo erayga sirta ah waxaa lagu kala qaadaa fadhi kasta.
Browser-yada ayaa laga yaabaa in si ka wanaagsan looga ilaaliyo weerarrada Man-in-the-dhexe. Dhammaan meelaha muhiimka ah ee mail.ru, marka lagu daro HTTPS, HSTS (HTTP badbaadada gaadiidka adag) waa la dajiyay. Iyadoo HSTS ay karti u leedahay, browserka casriga ah ma siinayo isticmaalaha ikhtiyaar sahlan oo uu ku aqbalo shahaadada been abuurka ah, xitaa haddii isticmaaluhu rabo. Marka lagu daro HSTS, isticmaalayaasha waxaa lagu badbaadiyay xaqiiqda tan iyo 2017, SMTP, IMAP iyo POP3 server ee Mail.ru waxay mamnuucayaan wareejinta ereyada sirta ah ee xiriirka aan sugneyn; dhammaan isticmaalayaashayadu waxay isticmaaleen TLS si ay u galaan SMTP, POP3 iyo IMAP, iyo sidaas darteed gelitaanka iyo erayga sirta ah waxay dhexgeli karaan oo keliya haddii isticmaaluhu uu isagu oggolaado inuu aqbalo shahaadada la xaday.
Isticmaalayaasha mobilada, waxaan had iyo jeer kugula talineynaa isticmaalka codsiyada Mail.ru si ay u galaan boostada, sababtoo ah... Ku shaqaynta boostada iyagaa ka ammaan badan browser-yada ama macaamiisha SMTP/IMAP ee ku dhex jira.
Maxaa la sameeyaa
Waa lagama maarmaan in la cusboonaysiiyo MikroTik RouterOS firmware si loo helo nooc sugan. Haddii sabab qaar ka mid ah tani aysan suurtagal ahayn, waxaa lagama maarmaan ah in la sifeeyo taraafikada dekedda 8291 (tcp iyo udp), tani waxay adkeyn doontaa ka faa'iidaysiga dhibaatada, inkastoo aysan meesha ka saari doonin suurtagalnimada cirbadeynta qarsoodiga ah ee kaydka DNS. ISP-yadu waa inay ku shaandheeyaan dekeddan shabakadahooda si ay u ilaaliyaan isticmaalayaasha shirkadda.
Dhammaan isticmaalayaasha aqbalay shahaado beddelka ah waa inay si degdeg ah u beddelaan erayga sirta ah ee iimaylka iyo adeegyada kale ee shahaadadan loo aqbalay. Dhankeena, waxaanu ogaysiin doonaa isticmaalayaasha kuwaas oo ku gala fariimaha aaladaha nugul.
PS Waxa kale oo jirta baylah la xidhiidha oo lagu sifeeyay boostada "".
Source: www.habr.com