Jioni ya Machi 10, huduma ya usaidizi ya Mail.ru ilianza kupokea malalamiko kutoka kwa watumiaji kuhusu kutoweza kuunganisha kwenye seva za Mail.ru IMAP/SMTP kupitia programu za barua pepe. Wakati huo huo, viunganisho vingine havikupitia, na vingine vinaonyesha hitilafu ya cheti. Hitilafu inasababishwa na "seva" kutoa cheti cha TLS kilichojiandikisha.
Kwa muda wa siku mbili, zaidi ya malalamiko 10 yalikuja kutoka kwa watumiaji kwenye mitandao mbalimbali na vifaa mbalimbali, na hivyo kufanya kutowezekana kuwa tatizo lilikuwa kwenye mtandao wa mtoa huduma yeyote. Uchambuzi wa kina zaidi wa shida ulifunua kuwa seva ya imap.mail.ru (pamoja na seva na huduma zingine za barua) inabadilishwa kwa kiwango cha DNS. Zaidi ya hayo, kwa usaidizi wa watumiaji wetu, tuligundua kuwa sababu ilikuwa ingizo lisilo sahihi kwenye kashe ya kipanga njia chao, ambacho pia ni kisuluhishi cha DNS cha ndani, na ambacho katika visa vingi (lakini sio vyote) viligeuka kuwa MikroTik. kifaa, maarufu sana katika mitandao ndogo ya ushirika na kutoka kwa watoa huduma wadogo wa mtandao.
Shida ni nini
Mnamo Septemba 2019, watafiti udhaifu kadhaa katika MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), ambayo iliruhusu mashambulizi ya sumu ya cache ya DNS, i.e. uwezo wa kuharibu rekodi za DNS kwenye kashe ya DNS ya kipanga njia, na CVE-2019-3978 inaruhusu mshambuliaji asingojee mtu kutoka mtandao wa ndani kuomba ingizo kwenye seva yake ya DNS ili kutia sumu kwenye kashe ya kisuluhishi, lakini aanzishe vile. ombi mwenyewe kupitia bandari 8291 (UDP na TCP). Athari ya kuathiriwa ilirekebishwa na MikroTik katika matoleo ya RouterOS 6.45.7 (imara) na 6.44.6 (ya muda mrefu) mnamo Oktoba 28, 2019, lakini kulingana na Watumiaji wengi kwa sasa hawajasakinisha viraka.
Ni dhahiri kwamba tatizo hili sasa linatumiwa kikamilifu "live".
Kwa nini ni hatari?
Mshambulizi anaweza kuharibu rekodi ya DNS ya seva pangishi yoyote inayofikiwa na mtumiaji kwenye mtandao wa ndani, na hivyo kuingilia trafiki kwake. Ikiwa maelezo nyeti yanatumwa bila usimbaji fiche (kwa mfano, kupitia http:// bila TLS) au mtumiaji anakubali kupokea cheti bandia, mvamizi anaweza kupata data yote inayotumwa kupitia muunganisho, kama vile kuingia au nenosiri. Kwa bahati mbaya, mazoezi yanaonyesha kwamba ikiwa mtumiaji ana fursa ya kukubali cheti bandia, atachukua fursa hiyo.
Kwa nini seva za SMTP na IMAP, na ni nini kilihifadhi watumiaji
Kwa nini wavamizi walijaribu kuzuia trafiki ya SMTP/IMAP ya programu za barua pepe, na sio trafiki ya wavuti, ingawa watumiaji wengi walifikia barua zao kupitia kivinjari cha HTTPS?
Sio programu zote za barua pepe zinazofanya kazi kupitia SMTP na IMAP/POP3 zinazomlinda mtumiaji kutokana na makosa, na kumzuia kutuma kuingia na nenosiri kupitia muunganisho usio salama au ulioathiriwa, ingawa kulingana na kiwango. , iliyopitishwa mwaka wa 2018 (na kutekelezwa katika Mail.ru mapema zaidi), lazima ilinde mtumiaji kutokana na kuingilia nenosiri kupitia uhusiano wowote usio salama. Kwa kuongeza, itifaki ya OAuth haitumiwi sana kwa wateja wa barua pepe (inasaidiwa na seva za barua pepe za Mail.ru), na bila hiyo, kuingia na nenosiri hupitishwa katika kila kikao.
Vivinjari vinaweza kulindwa vyema dhidi ya mashambulizi ya Man-in-the-Middle. Kwenye vikoa vyote muhimu vya mail.ru, pamoja na HTTPS, sera ya HSTS (HTTP kali ya usalama wa usafiri) imewezeshwa. HSTS ikiwa imewashwa, kivinjari cha kisasa hakimpi mtumiaji chaguo rahisi kukubali cheti bandia, hata kama mtumiaji anataka. Mbali na HSTS, watumiaji waliokolewa na ukweli kwamba tangu 2017, seva za SMTP, IMAP na POP3 za Mail.ru zinakataza uhamishaji wa nywila kwa muunganisho usio salama, watumiaji wetu wote walitumia TLS kupata ufikiaji kupitia SMTP, POP3 na IMAP na. kwa hivyo kuingia na nenosiri kunaweza kukatiza ikiwa tu mtumiaji mwenyewe atakubali kukubali cheti kilichoibiwa.
Kwa watumiaji wa simu za mkononi, tunapendekeza kila mara kutumia programu za Mail.ru kufikia barua, kwa sababu... kufanya kazi na barua ndani yao ni salama zaidi kuliko katika vivinjari au viteja vya SMTP/IMAP vilivyojengewa ndani.
Nini kifanyike
Ni muhimu kusasisha firmware ya MikroTik RouterOS kwa toleo salama. Ikiwa kwa sababu fulani hii haiwezekani, ni muhimu kuchuja trafiki kwenye bandari 8291 (tcp na udp), hii itachanganya unyonyaji wa tatizo, ingawa haitaondoa uwezekano wa sindano ya passiv kwenye cache ya DNS. ISPs wanapaswa kuchuja mlango huu kwenye mitandao yao ili kulinda watumiaji wa shirika.
Watumiaji wote waliokubali cheti kilichobadilishwa wanapaswa kubadilisha kwa haraka nenosiri la barua pepe na huduma zingine ambazo cheti hiki kilikubaliwa. Kwa upande wetu, tutawaarifu watumiaji wanaopata barua pepe kupitia vifaa vinavyoweza kuathirika.
PS Pia kuna udhaifu unaohusiana ulioelezewa katika chapisho "".
Chanzo: mapenzi.com