Mantsiboeeng a la 10 Hlakubele, tšebeletso ea tšehetso ea Mail.ru e ile ea qala ho amohela litletlebo ho tsoa ho basebelisi mabapi le ho se khone ho hokela ho li-server tsa Mail.ru IMAP/SMTP ka mananeo a lengolo-tsoibila. Ka nako e ts'oanang, likhokahano tse ling ha lia ka tsa feta, 'me tse ling li bontša phoso ea setifikeiti. Phoso e bakoa ke "server" e ntšitseng setifikeiti sa TLS se ingoletseng.
Ka matsatsi a mabeli, litletlebo tse fetang 10 li ile tsa tla ho tsoa ho basebelisi ba mefuta e mengata ea marang-rang le lisebelisoa tse sa tšoaneng, ho etsa hore ho se ke ha etsahala hore bothata bo ne bo le marang-rang a mofani ofe kapa ofe. Tlhahlobo e qaqileng haholoanyane ea bothata e senoletse hore seva sa imap.mail.ru (hammoho le li-server le lits'ebeletso tse ling) se nkeloa sebaka boemong ba DNS. Ho feta moo, ka thuso e sebetsang ea basebelisi ba rona, re fumane hore lebaka e ne e le ho kena ho fosahetseng ka har'a cache ea router ea bona, eo hape e leng tharollo ea DNS ea lehae, 'me maemong a mangata (empa eseng kaofela) e bile MikroTik. sesebelisoa, se tumme haholo marang-rang a likhoebo tse nyane le ho tsoa ho bafani ba banyane ba Marang-rang.
Bothata ke bofe
Ka Loetse 2019, bafuputsi bofokoli ba 'maloa ho MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), e ileng ea lumella tlhaselo ea chefo ea cache ea DNS, ke hore. bokhoni ba ho senya lirekoto tsa DNS ka har'a cache ea DNS ea router, 'me CVE-2019-3978 e lumella mohlaseli hore a se ke a emela motho ea tsoang marang-rang a ka hare ho kopa ho kena ho seva sa hae sa DNS e le hore a chefo cache ea solver, empa ho qala joalo. kopo ka boeena ka boema-kepe 8291 (UDP le TCP). Ho ba kotsing ho ile ha lokisoa ke MikroTik ka mefuta ea RouterOS 6.45.7 (e tsitsitseng) le 6.44.6 (nako e telele) ka la 28 Mphalane 2019, empa ho latela Basebelisi ba bangata ha ba so kenye lipache hajoale.
Ho hlakile hore bothata bona bo se bo sebelisoa ka mafolofolo "phela".
Hobaneng ho le kotsi
Mohlaseli a ka senya rekoto ea DNS ea moamoheli ofe kapa ofe ea fihletsoeng ke mosebelisi marang-rang a kahare, ka hona a thibela sephethephethe ho eona. Haeba lintlha tsa bohlokoa li fetisoa ntle le khokahanyo (mohlala, ho http:// ntle le TLS) kapa mosebelisi a lumela ho amohela setifikeiti sa fake, mohlaseli a ka fumana lintlha tsohle tse rometsoeng ka khokahanyo, joalo ka ho kena kapa password. Ka bomalimabe, tloaelo e bontša hore haeba mosebelisi a e-na le monyetla oa ho amohela setifikeiti sa bohata, o tla se sebelisa.
Hobaneng li-server tsa SMTP le IMAP, le hore na basebelisi ba bolokile eng
Hobaneng bahlaseli ba ile ba leka ho thibela sephethephethe sa SMTP/IMAP sa likopo tsa lengolo-tsoibila, eseng sephethephethe sa marang-rang, leha basebelisi ba bangata ba fumana mangolo a bona ka sebatli sa HTTPS?
Ha se mananeo ohle a lengolo-tsoibila a sebetsang ka SMTP le IMAP/POP3 a sireletsang mosebelisi liphosong, a mo thibela ho romella ho kena le password ka khokahano e sa sireletsehang kapa e senyehileng, leha ho latela maemo. , e amohetsoeng morao ho 2018 (mme e kentsoe tšebetsong ho Mail.ru pejana), e tlameha ho sireletsa mosebelisi ho tsoa ho password ka khokahano efe kapa efe e sa sireletsehang. Ntle le moo, protocol ea OAuth ha e sebelisoe hangata ho bareki ba lengolo-tsoibila (e tšehetsoa ke li-server tsa Mail.ru), 'me ntle le eona, ho kena le password li fetisoa sebokeng ka seng.
Libatli li kanna tsa sireletseha hamolemo khahlanong le litlhaselo tsa Man-in-the-Middle. Libakeng tsohle tse mahlonoko tsa mail.ru, ho phaella ho HTTPS, leano la HSTS (HTTP strict transport security) lea lumelloa. Ha HSTS e nolofalitsoe, sebatli sa sejoale-joale ha se fe mosebelisi khetho e bonolo ea ho amohela setifikeiti sa fake, leha mosebelisi a batla. Ntle le HSTS, basebelisi ba pholositsoe ke taba ea hore ho tloha ka 2017, li-server tsa SMTP, IMAP le POP3 tsa Mail.ru li thibela phetiso ea li-password ka khokahano e sa sireletsehang, basebelisi bohle ba rona ba sebelisitse TLS ho fihlella ka SMTP, POP3 le IMAP, le ka hona, ho kena le password li ka thibela feela haeba mosebelisi ka boeena a lumela ho amohela setifikeiti se senyehileng.
Bakeng sa basebelisi ba mehala, re lula re khothaletsa ho sebelisa lits'ebetso tsa Mail.ru ho fumana mangolo, hobane... ho sebetsa ka mangolo ho bona ho bolokehile ho feta ho libatli kapa ho bareki ba ikaheletsoeng ka SMTP/IMAP.
Seo u lokelang ho se etsa
Hoa hlokahala ho ntlafatsa firmware ea MikroTik RouterOS ho mofuta o sireletsehileng. Haeba ka lebaka le itseng sena se sa khonehe, hoa hlokahala ho sefa sephethephethe ho port 8291 (tcp le udp), sena se tla thatafatsa tšebeliso ea bothata, leha e ke ke ea felisa monyetla oa ho kenella ka har'a cache ea DNS. Li-ISP li lokela ho sefa boema-kepe bona marang-rang a bona ho sireletsa basebelisi ba likhoebo.
Basebelisi bohle ba amohetseng setifikeiti se kentsoeng sebakeng sa bona ba tlameha ho fetola kapele phasewete bakeng sa lengolo-tsoibila le lits'ebeletso tse ling tseo setifikeiti sena se amohetsoeng bakeng sa tsona. Bakeng sa rona, re tla tsebisa basebelisi ba fumanang mangolo ka lisebelisoa tse tlokotsing.
PS Ho boetse ho na le ts'oaetso e amanang le eona e hlalositsoeng posong "".
Source: www.habr.com