மார்ச் 10 மாலை, மின்னஞ்சல் நிரல்களின் மூலம் Mail.ru IMAP/SMTP சேவையகங்களுடன் இணைக்க இயலாமை குறித்து Mail.ru ஆதரவு சேவை பயனர்களிடமிருந்து புகார்களைப் பெறத் தொடங்கியது. அதே நேரத்தில், சில இணைப்புகள் செல்லவில்லை, மேலும் சில சான்றிதழ் பிழையைக் காட்டுகின்றன. "சேவையகம்" சுய கையொப்பமிட்ட TLS சான்றிதழை வழங்கியதால் பிழை ஏற்பட்டது.
இரண்டு நாட்களில், பல்வேறு நெட்வொர்க்குகள் மற்றும் பல்வேறு சாதனங்களில் பயனர்களிடமிருந்து 10 க்கும் மேற்பட்ட புகார்கள் வந்தன. சிக்கலைப் பற்றிய விரிவான பகுப்பாய்வு, imap.mail.ru சேவையகம் (அத்துடன் பிற அஞ்சல் சேவையகங்கள் மற்றும் சேவைகள்) DNS மட்டத்தில் மாற்றப்படுவதை வெளிப்படுத்தியது. மேலும், எங்கள் பயனர்களின் செயலில் உள்ள உதவியுடன், அவர்களின் ரூட்டரின் தற்காலிக சேமிப்பில் தவறான நுழைவு இருப்பதைக் கண்டறிந்தோம், இது ஒரு உள்ளூர் டிஎன்எஸ் தீர்வாகும், மேலும் பல (ஆனால் அனைத்து அல்ல) நிகழ்வுகளிலும் இது MikroTik ஆக மாறியது. சாதனம், சிறிய கார்ப்பரேட் நெட்வொர்க்குகள் மற்றும் சிறிய இணைய வழங்குநர்களிடமிருந்து மிகவும் பிரபலமானது.
என்ன பிரச்சனை
செப்டம்பர் 2019 இல், ஆராய்ச்சியாளர்கள் MikroTik RouterOS இல் பல பாதிப்புகள் (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), இது DNS கேச் நச்சுத் தாக்குதலை அனுமதித்தது, அதாவது. திசைவியின் டிஎன்எஸ் கேச் மற்றும் சிவிஇ-2019-3978 ஆகியவற்றில் டிஎன்எஸ் பதிவுகளை ஏமாற்றும் திறன், ரிசல்வர் தற்காலிக சேமிப்பை விஷமாக்குவதற்காக, தனது டிஎன்எஸ் சர்வரில் உள்ளிடுவதற்கு உள் நெட்வொர்க்கில் உள்ள ஒருவரைக் கோரும் வரை தாக்குபவர் காத்திருக்காமல் இருக்க அனுமதிக்கிறது. போர்ட் 8291 (UDP மற்றும் TCP) மூலம் ஒரு வேண்டுகோள். அக்டோபர் 6.45.7, 6.44.6 அன்று RouterOS 28 (நிலையான) மற்றும் 2019 (நீண்ட கால) பதிப்புகளில் MikroTik ஆல் பாதிப்பு சரி செய்யப்பட்டது, ஆனால் அதன்படி பெரும்பாலான பயனர்கள் தற்போது இணைப்புகளை நிறுவவில்லை.
இந்த சிக்கல் இப்போது "நேரடி" தீவிரமாக சுரண்டப்படுகிறது என்பது வெளிப்படையானது.
அது ஏன் ஆபத்தானது
உள் நெட்வொர்க்கில் ஒரு பயனரால் அணுகப்பட்ட எந்த ஹோஸ்டின் DNS பதிவையும் தாக்குபவர் ஏமாற்றலாம், அதன் மூலம் அதற்கான போக்குவரத்தை இடைமறிக்கலாம். முக்கியமான தகவல் குறியாக்கம் இல்லாமல் அனுப்பப்பட்டால் (உதாரணமாக, TLS இல்லாமல் http:// வழியாக) அல்லது ஒரு போலி சான்றிதழை ஏற்க பயனர் ஒப்புக்கொண்டால், உள்நுழைவு அல்லது கடவுச்சொல் போன்ற இணைப்பு மூலம் அனுப்பப்படும் அனைத்து தரவையும் தாக்குபவர் பெறலாம். துரதிர்ஷ்டவசமாக, ஒரு பயனருக்கு போலி சான்றிதழை ஏற்றுக்கொள்ள வாய்ப்பு இருந்தால், அவர் அதைப் பயன்படுத்திக் கொள்வார் என்பதை நடைமுறை காட்டுகிறது.
ஏன் SMTP மற்றும் IMAP சேவையகங்கள் மற்றும் பயனர்களை சேமித்தது
பெரும்பாலான பயனர்கள் தங்கள் அஞ்சலை HTTPS உலாவி வழியாக அணுகினாலும், தாக்குபவர்கள் ஏன் மின்னஞ்சல் பயன்பாடுகளின் SMTP/IMAP ட்ராஃபிக்கை இடைமறிக்க முயன்றனர், வலைப் போக்குவரத்தை அல்ல?
SMTP மற்றும் IMAP/POP3 மூலம் செயல்படும் அனைத்து மின்னஞ்சல் நிரல்களும் பயனரை பிழைகளிலிருந்து பாதுகாப்பதில்லை, பாதுகாப்பற்ற அல்லது சமரசம் செய்யப்பட்ட இணைப்பு மூலம் உள்நுழைவு மற்றும் கடவுச்சொல்லை அனுப்புவதைத் தடுக்கிறது, இருப்பினும் தரநிலையின்படி . கூடுதலாக, OAuth நெறிமுறை மின்னஞ்சல் கிளையண்டுகளில் மிகவும் அரிதாகவே பயன்படுத்தப்படுகிறது (இது Mail.ru அஞ்சல் சேவையகங்களால் ஆதரிக்கப்படுகிறது), மேலும் இது இல்லாமல், ஒவ்வொரு அமர்விலும் உள்நுழைவு மற்றும் கடவுச்சொல் அனுப்பப்படும்.
மேன்-இன்-தி-மிடில் தாக்குதல்களுக்கு எதிராக உலாவிகள் கொஞ்சம் சிறப்பாகப் பாதுகாக்கப்படலாம். அனைத்து mail.ru முக்கியமான டொமைன்களிலும், HTTPSக்கு கூடுதலாக, HSTS (HTTP கடுமையான போக்குவரத்து பாதுகாப்பு) கொள்கை இயக்கப்பட்டுள்ளது. HSTS இயக்கப்பட்டால், ஒரு நவீன உலாவியானது, பயனர் விரும்பினாலும் கூட, போலிச் சான்றிதழை ஏற்றுக்கொள்ளும் எளிதான விருப்பத்தை பயனருக்கு வழங்காது. HSTS ஐத் தவிர, 2017 ஆம் ஆண்டு முதல், Mail.ru இன் SMTP, IMAP மற்றும் POP3 சேவையகங்கள் பாதுகாப்பற்ற இணைப்பின் மூலம் கடவுச்சொற்களை மாற்றுவதைத் தடைசெய்கிறது, எங்கள் பயனர்கள் அனைவரும் SMTP, POP3 மற்றும் IMAP வழியாக அணுகுவதற்கு TLS ஐப் பயன்படுத்தினர். எனவே ஏமாற்றப்பட்ட சான்றிதழை ஏற்க பயனர் ஒப்புக்கொண்டால் மட்டுமே உள்நுழைவு மற்றும் கடவுச்சொல் குறுக்கிட முடியும்.
மொபைல் பயனர்களுக்கு, அஞ்சலை அணுக Mail.ru பயன்பாடுகளைப் பயன்படுத்த நாங்கள் எப்போதும் பரிந்துரைக்கிறோம், ஏனெனில்... உலாவிகள் அல்லது உள்ளமைக்கப்பட்ட SMTP/IMAP கிளையண்டுகளை விட அவற்றில் உள்ள மெயிலுடன் பணிபுரிவது பாதுகாப்பானது.
என்ன செய்வது
MikroTik RouterOS ஃபார்ம்வேரை பாதுகாப்பான பதிப்பிற்கு புதுப்பிக்க வேண்டியது அவசியம். சில காரணங்களால் இது சாத்தியமில்லை என்றால், போர்ட் 8291 (tcp மற்றும் udp) இல் போக்குவரத்தை வடிகட்டுவது அவசியம், இது சிக்கலின் சுரண்டலை சிக்கலாக்கும், இருப்பினும் இது DNS தற்காலிக சேமிப்பில் செயலற்ற ஊசி போடுவதற்கான வாய்ப்பை அகற்றாது. கார்ப்பரேட் பயனர்களைப் பாதுகாக்க ISPகள் தங்கள் நெட்வொர்க்குகளில் இந்த போர்ட்டை வடிகட்ட வேண்டும்.
மாற்றுச் சான்றிதழை ஏற்றுக்கொண்ட அனைத்துப் பயனர்களும் இந்தச் சான்றிதழ் ஏற்கப்பட்ட மின்னஞ்சல் மற்றும் பிற சேவைகளுக்கான கடவுச்சொல்லை அவசரமாக மாற்ற வேண்டும். எங்கள் பங்கிற்கு, பாதிக்கப்படக்கூடிய சாதனங்கள் மூலம் அஞ்சலை அணுகும் பயனர்களுக்கு நாங்கள் அறிவிப்போம்.
பி.எஸ். இது தொடர்பான பாதிப்பும் இடுகையில் விவரிக்கப்பட்டுள்ளது "".
ஆதாரம்: www.habr.com