Në mbrëmjen e 10 marsit, shërbimi mbështetës Mail.ru filloi të marrë ankesa nga përdoruesit për pamundësinë për t'u lidhur me serverët IMAP/SMTP Mail.ru përmes programeve të postës elektronike. Në të njëjtën kohë, disa lidhje nuk kaluan, dhe disa tregojnë një gabim certifikate. Gabimi është shkaktuar nga "serveri" që lëshon një certifikatë TLS të vetë-nënshkruar.
Gjatë dy ditëve, erdhën më shumë se 10 ankesa nga përdoruesit në një gamë të gjerë rrjetesh dhe me një sërë pajisjesh, duke e bërë të pamundur që problemi të ishte në rrjetin e ndonjë ofruesi. Një analizë më e detajuar e problemit zbuloi se serveri imap.mail.ru (si dhe serverët dhe shërbimet e tjera të postës) po zëvendësohen në nivelin DNS. Më tej, me ndihmën aktive të përdoruesve tanë, zbuluam se arsyeja ishte një hyrje e gabuar në cache-in e routerit të tyre, i cili është gjithashtu një zgjidhës lokal DNS, dhe që në shumë (por jo të gjitha) raste rezultoi të ishte MikroTik. pajisje, shumë e njohur në rrjetet e korporatave të vogla dhe nga ofruesit e vegjël të internetit.
Cili është problemi
Në shtator 2019, studiuesit disa dobësi në MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), të cilat lejuan një sulm helmues të memories DNS, d.m.th. aftësia për të mashtruar të dhënat DNS në cache-in DNS të routerit dhe CVE-2019-3978 i lejon sulmuesit të mos presë që dikush nga rrjeti i brendshëm të kërkojë një hyrje në serverin e tij DNS në mënyrë që të helmojë cache-in e zgjidhësit, por të inicojë një të tillë një kërkesë vetë përmes portit 8291 (UDP dhe TCP). Dobësia u rregullua nga MikroTik në versionet e RouterOS 6.45.7 (të qëndrueshme) dhe 6.44.6 (afatgjatë) më 28 tetor 2019, por sipas Shumica e përdoruesve nuk kanë instaluar aktualisht arna.
Është e qartë se ky problem tani po shfrytëzohet në mënyrë aktive “live”.
Pse është e rrezikshme?
Një sulmues mund të mashtrojë të dhënat DNS të çdo hosti të aksesuar nga një përdorues në rrjetin e brendshëm, duke përgjuar kështu trafikun drejt tij. Nëse informacioni i ndjeshëm transmetohet pa enkriptim (për shembull, mbi http:// pa TLS) ose përdoruesi pranon të pranojë një certifikatë të rreme, sulmuesi mund të marrë të gjitha të dhënat që dërgohen përmes lidhjes, të tilla si një hyrje ose fjalëkalim. Fatkeqësisht, praktika tregon se nëse një përdorues ka mundësinë të pranojë një certifikatë të rreme, ai do të përfitojë prej saj.
Pse serverët SMTP dhe IMAP, dhe çfarë i shpëtoi përdoruesit
Pse sulmuesit u përpoqën të përgjonin trafikun SMTP/IMAP të aplikacioneve të postës elektronike, dhe jo trafikun në ueb, megjithëse shumica e përdoruesve hyjnë në postën e tyre përmes shfletuesit HTTPS?
Jo të gjitha programet e postës elektronike që punojnë përmes SMTP dhe IMAP/POP3 e mbrojnë përdoruesin nga gabimet, duke e penguar atë të dërgojë hyrjen dhe fjalëkalimin përmes një lidhjeje të pasigurt ose të komprometuar, megjithëse sipas standardit , i miratuar në vitin 2018 (dhe i zbatuar në Mail.ru shumë më herët), ata duhet të mbrojnë përdoruesin nga përgjimi i fjalëkalimit përmes çdo lidhjeje të pasigurt. Për më tepër, protokolli OAuth përdoret shumë rrallë në klientët e postës elektronike (ai mbështetet nga serverët e postës Mail.ru), dhe pa të, identifikimi dhe fjalëkalimi transmetohen në çdo seancë.
Shfletuesit mund të mbrohen pak më mirë kundër sulmeve Man-in-the-Middle. Në të gjitha domenet kritike të mail.ru, përveç HTTPS, është aktivizuar politika HSTS (Siguria strikte e transportit HTTP). Me HSTS të aktivizuar, një shfletues modern nuk i jep përdoruesit një mundësi të lehtë për të pranuar një certifikatë të rreme, edhe nëse përdoruesi dëshiron. Përveç HSTS, përdoruesit u shpëtuan nga fakti se që nga viti 2017, serverët SMTP, IMAP dhe POP3 të Mail.ru ndalojnë transferimin e fjalëkalimeve përmes një lidhjeje të pasigurt, të gjithë përdoruesit tanë përdorën TLS për qasje përmes SMTP, POP3 dhe IMAP, dhe prandaj identifikimi dhe fjalëkalimi mund të përgjojnë vetëm nëse vetë përdoruesi pranon të pranojë certifikatën e falsifikuar.
Për përdoruesit e celularëve, ne gjithmonë rekomandojmë përdorimin e aplikacioneve Mail.ru për të hyrë në postë, sepse... Puna me postë në to është më e sigurt sesa në shfletues ose klientët e integruar SMTP/IMAP.
Çfarë duhet bërë
Është e nevojshme të përditësoni firmuerin MikroTik RouterOS në një version të sigurt. Nëse për ndonjë arsye kjo nuk është e mundur, është e nevojshme të filtroni trafikun në portin 8291 (tcp dhe udp), kjo do të komplikojë shfrytëzimin e problemit, megjithëse nuk do të eliminojë mundësinë e injektimit pasiv në cache DNS. ISP-të duhet të filtrojnë këtë port në rrjetet e tyre për të mbrojtur përdoruesit e korporatave.
Të gjithë përdoruesit që pranuan një certifikatë të zëvendësuar duhet të ndryshojnë urgjentisht fjalëkalimin për emailin dhe shërbimet e tjera për të cilat është pranuar kjo certifikatë. Nga ana jonë, ne do të njoftojmë përdoruesit që hyjnë në postë përmes pajisjeve të cenueshme.
PS Ekziston gjithashtu një dobësi e lidhur e përshkruar në postim "".
Burimi: www.habr.com