Увече 10. марта, служба за подршку Маил.ру почела је да прима жалбе корисника на немогућност повезивања са Маил.ру ИМАП/СМТП серверима преко програма за е-пошту. У исто време, неке везе нису прошле, а неке показују грешку сертификата. Грешка је узрокована тиме што „сервер“ издаје самопотписани ТЛС сертификат.
За два дана стигло је више од 10 притужби од корисника на различитим мрежама и са различитим уређајима, што чини мало вероватним да је проблем у мрежи било ког провајдера. Детаљнија анализа проблема открила је да се сервер имап.маил.ру (као и други сервери и сервиси поште) замењују на ДНС нивоу. Даље, уз активну помоћ наших корисника, открили смо да је разлог био нетачан унос у кеш њиховог рутера, који је такође локални ДНС резовер, а за који се у многим (али не у свим) случајевима испоставило да је МикроТик уређај, веома популаран у малим корпоративним мрежама и код малих Интернет провајдера.
У чему је проблем
У септембру 2019. истраживачи неколико рањивости у МикроТик РоутерОС-у (ЦВЕ-2019-3976, ЦВЕ-2019-3977, ЦВЕ-2019-3978, ЦВЕ-2019-3979), што је омогућило напад тровања ДНС кеша, тј. могућност лажирања ДНС записа у ДНС кешу рутера, а ЦВЕ-2019-3978 омогућава нападачу да не чека да неко из интерне мреже затражи унос на његов ДНС сервер како би затровао кеш резолвера, већ да покрене такав сам захтева преко порта 8291 (УДП и ТЦП). Рањивост је отклонио МикроТик у верзијама РоутерОС-а 6.45.7 (стабилан) и 6.44.6 (дугорочни) 28. октобра 2019. године, али према Већина корисника тренутно није инсталирала закрпе.
Очигледно је да се овај проблем сада активно експлоатише „уживо“.
Зашто је опасно
Нападач може преварити ДНС запис било ког хоста коме корисник приступи на интерној мрежи, пресрећући на тај начин саобраћај до њега. Ако се осетљиве информације преносе без шифровања (на пример, преко хттп:// без ТЛС-а) или корисник пристане да прихвати лажни сертификат, нападач може да добије све податке који се шаљу преко везе, као што су логин или лозинка. Нажалост, пракса показује да ако корисник има прилику да прихвати лажни сертификат, он ће то искористити.
Зашто СМТП и ИМАП сервери и шта је спасило кориснике
Зашто су нападачи покушали да пресретну СМТП/ИМАП саобраћај емаил апликација, а не веб саобраћај, иако већина корисника приступа својој пошти преко ХТТПС претраживача?
Не штите сви програми за е-пошту који раде преко СМТП и ИМАП/ПОП3 корисника од грешака, спречавајући га да пошаље податке за пријаву и лозинку преко небезбедне или компромитоване везе, иако по стандарду , усвојене још 2018. године (и примењене у Маил.ру много раније), морају заштитити корисника од пресретања лозинке преко било које необезбеђене везе. Поред тога, ОАутх протокол се веома ретко користи у клијентима е-поште (подржавају га сервери поште Маил.ру), а без њега се пријављивање и лозинка преносе у свакој сесији.
Прегледачи су можда мало боље заштићени од напада Ман-ин-тхе-Миддле. На свим критичним доменима маил.ру, поред ХТТПС-а, омогућена је и политика ХСТС (ХТТП стрицт транспорт сецурити). Са укљученим ХСТС-ом, савремени претраживач не даје кориснику лаку опцију да прихвати лажни сертификат, чак и ако корисник то жели. Поред ХСТС-а, кориснике је спасило и то што од 2017. године СМТП, ИМАП и ПОП3 сервери Маил.ру-а забрањују пренос лозинки преко незаштићене везе, сви наши корисници користе ТЛС за приступ преко СМТП, ПОП3 и ИМАП и стога пријаву и лозинку могу пресрести само ако корисник сам пристане да прихвати лажни сертификат.
За мобилне кориснике увек препоручујемо коришћење Маил.ру апликација за приступ пошти, јер... рад са поштом у њима је сигурнији него у претраживачима или уграђеним СМТП/ИМАП клијентима.
Шта да радиш
Неопходно је ажурирати фирмвер МикроТик РоутерОС на безбедну верзију. Ако из неког разлога то није могуће, потребно је филтрирати саобраћај на порту 8291 (тцп и удп), то ће отежати експлоатацију проблема, иако неће елиминисати могућност пасивног убризгавања у ДНС кеш. ИСП-ови би требало да филтрирају овај порт на својим мрежама како би заштитили корпоративне кориснике.
Сви корисници који су прихватили замењени сертификат треба хитно да промене лозинку за е-пошту и друге сервисе за које је овај сертификат прихваћен. Са наше стране, обавестићемо кориснике који приступају пошти преко рањивих уређаја.
ПС Постоји и сродна рањивост описана у посту "".
Извор: ввв.хабр.цом