మార్చి 10 సాయంత్రం, Mail.ru మద్దతు సేవ ఇమెయిల్ ప్రోగ్రామ్ల ద్వారా Mail.ru IMAP/SMTP సర్వర్లకు కనెక్ట్ చేయడంలో అసమర్థత గురించి వినియోగదారుల నుండి ఫిర్యాదులను స్వీకరించడం ప్రారంభించింది. అదే సమయంలో, కొన్ని కనెక్షన్లు జరగలేదు మరియు కొన్ని సర్టిఫికేట్ లోపాన్ని చూపుతాయి. "సర్వర్" స్వీయ సంతకం చేసిన TLS ప్రమాణపత్రాన్ని జారీ చేయడం వల్ల ఈ లోపం ఏర్పడింది.
రెండు రోజుల్లో, వివిధ రకాల నెట్వర్క్లు మరియు విభిన్న పరికరాలతో వినియోగదారుల నుండి 10 కంటే ఎక్కువ ఫిర్యాదులు వచ్చాయి, సమస్య ఏ ఒక్క ప్రొవైడర్ నెట్వర్క్లో ఉండే అవకాశం లేదు. సమస్య యొక్క మరింత వివరణాత్మక విశ్లేషణ imap.mail.ru సర్వర్ (అలాగే ఇతర మెయిల్ సర్వర్లు మరియు సేవలు) DNS స్థాయిలో భర్తీ చేయబడుతుందని వెల్లడించింది. ఇంకా, మా వినియోగదారుల సక్రియ సహాయంతో, వారి రూటర్ యొక్క కాష్లో తప్పుగా నమోదు చేయబడిందని మేము కనుగొన్నాము, ఇది స్థానిక DNS పరిష్కరిణి కూడా మరియు అనేక (కానీ అన్ని కాదు) సందర్భాలలో MikroTik అని తేలింది. పరికరం, చిన్న కార్పొరేట్ నెట్వర్క్లలో మరియు చిన్న ఇంటర్నెట్ ప్రొవైడర్ల నుండి బాగా ప్రాచుర్యం పొందింది.
సమస్య ఏమిటి
సెప్టెంబర్ 2019 లో, పరిశోధకులు MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979)లో అనేక దుర్బలత్వాలు, ఇది DNS కాష్ పాయిజనింగ్ దాడిని అనుమతించింది, అనగా. రూటర్ యొక్క DNS కాష్లో DNS రికార్డ్లను మోసగించగల సామర్థ్యం మరియు CVE-2019-3978 రిజల్యూవర్ కాష్ను విషపూరితం చేయడానికి తన DNS సర్వర్లో ఎంట్రీని అభ్యర్థించడానికి అంతర్గత నెట్వర్క్ నుండి ఎవరైనా వేచి ఉండకుండా దాడి చేసే వ్యక్తిని అనుమతిస్తుంది, కానీ అలాంటి వాటిని ప్రారంభించడానికి పోర్ట్ 8291 (UDP మరియు TCP) ద్వారా స్వయంగా ఒక అభ్యర్థన. అక్టోబరు 6.45.7, 6.44.6న RouterOS 28 (స్థిరమైన) మరియు 2019 (దీర్ఘకాలిక) సంస్కరణల్లో MikroTik ద్వారా దుర్బలత్వం పరిష్కరించబడింది, అయితే దీని ప్రకారం చాలా మంది వినియోగదారులు ప్రస్తుతం ప్యాచ్లను ఇన్స్టాల్ చేయలేదు.
ఈ సమస్య ఇప్పుడు చురుకుగా "ప్రత్యక్ష" దోపిడీ చేయబడుతుందని స్పష్టంగా తెలుస్తుంది.
ఇది ఎందుకు ప్రమాదకరం?
దాడి చేసే వ్యక్తి అంతర్గత నెట్వర్క్లో వినియోగదారు యాక్సెస్ చేసిన ఏదైనా హోస్ట్ యొక్క DNS రికార్డ్ను మోసగించవచ్చు, తద్వారా దానికి ట్రాఫిక్ను అడ్డుకోవచ్చు. ఎన్క్రిప్షన్ లేకుండా (ఉదాహరణకు, http:// ద్వారా TLS లేకుండా) సున్నితమైన సమాచారం ప్రసారం చేయబడితే లేదా వినియోగదారు నకిలీ సర్టిఫికేట్ను అంగీకరించడానికి అంగీకరిస్తే, దాడి చేసే వ్యక్తి లాగిన్ లేదా పాస్వర్డ్ వంటి కనెక్షన్ ద్వారా పంపబడిన మొత్తం డేటాను పొందవచ్చు. దురదృష్టవశాత్తూ, ఒక వినియోగదారుకు నకిలీ సర్టిఫికేట్ను అంగీకరించే అవకాశం ఉంటే, అతను దానిని సద్వినియోగం చేసుకుంటాడని అభ్యాసం చూపిస్తుంది.
SMTP మరియు IMAP సర్వర్లు ఎందుకు, మరియు వినియోగదారులను ఏది సేవ్ చేసింది
చాలా మంది వినియోగదారులు HTTPS బ్రౌజర్ ద్వారా వారి మెయిల్ను యాక్సెస్ చేసినప్పటికీ, వెబ్ ట్రాఫిక్ కాకుండా, ఇమెయిల్ అప్లికేషన్ల SMTP/IMAP ట్రాఫిక్ను అడ్డగించడానికి దాడి చేసేవారు ఎందుకు ప్రయత్నించారు?
SMTP మరియు IMAP/POP3 ద్వారా పని చేసే అన్ని ఇమెయిల్ ప్రోగ్రామ్లు వినియోగదారుని లోపాల నుండి రక్షించవు, ప్రమాణం ప్రకారం అయితే, అసురక్షిత లేదా రాజీపడని కనెక్షన్ ద్వారా లాగిన్ మరియు పాస్వర్డ్ను పంపకుండా నిరోధిస్తుంది. , 2018లో తిరిగి స్వీకరించబడింది (మరియు చాలా ముందుగానే Mail.ruలో అమలు చేయబడింది), ఏదైనా అసురక్షిత కనెక్షన్ ద్వారా పాస్వర్డ్ అంతరాయం నుండి వారు తప్పనిసరిగా వినియోగదారుని రక్షించాలి. అదనంగా, OAuth ప్రోటోకాల్ ఇమెయిల్ క్లయింట్లలో చాలా అరుదుగా ఉపయోగించబడుతుంది (ఇది Mail.ru మెయిల్ సర్వర్లచే మద్దతు ఇస్తుంది), మరియు అది లేకుండా, లాగిన్ మరియు పాస్వర్డ్ ప్రతి సెషన్లో ప్రసారం చేయబడతాయి.
మ్యాన్-ఇన్-ది-మిడిల్ దాడుల నుండి బ్రౌజర్లు కొంచెం మెరుగ్గా రక్షించబడవచ్చు. అన్ని mail.ru క్లిష్టమైన డొమైన్లలో, HTTPSతో పాటు, HSTS (HTTP కఠినమైన రవాణా భద్రత) విధానం ప్రారంభించబడింది. HSTS ప్రారంభించబడినప్పుడు, వినియోగదారు కోరుకున్నప్పటికీ, నకిలీ సర్టిఫికేట్ను ఆమోదించడానికి ఆధునిక బ్రౌజర్ వినియోగదారుకు సులభమైన ఎంపికను అందించదు. HSTSతో పాటు, 2017 నుండి, Mail.ru యొక్క SMTP, IMAP మరియు POP3 సర్వర్లు అసురక్షిత కనెక్షన్ ద్వారా పాస్వర్డ్లను బదిలీ చేయడాన్ని నిషేధించాయి, మా వినియోగదారులందరూ SMTP, POP3 మరియు IMAP ద్వారా యాక్సెస్ కోసం TLSని ఉపయోగించారు మరియు కాబట్టి లాగిన్ మరియు పాస్వర్డ్ స్పూఫ్డ్ సర్టిఫికేట్ను అంగీకరించడానికి వినియోగదారు స్వయంగా అంగీకరిస్తే మాత్రమే అడ్డగించవచ్చు.
మొబైల్ వినియోగదారుల కోసం, మెయిల్ని యాక్సెస్ చేయడానికి Mail.ru అప్లికేషన్లను ఉపయోగించమని మేము ఎల్లప్పుడూ సిఫార్సు చేస్తున్నాము, ఎందుకంటే... బ్రౌజర్లు లేదా అంతర్నిర్మిత SMTP/IMAP క్లయింట్ల కంటే వాటిలో మెయిల్తో పని చేయడం సురక్షితం.
ఏం చేయాలి
MikroTik RouterOS ఫర్మ్వేర్ను సురక్షిత సంస్కరణకు నవీకరించడం అవసరం. కొన్ని కారణాల వల్ల ఇది సాధ్యం కాకపోతే, పోర్ట్ 8291 (tcp మరియు udp) పై ట్రాఫిక్ను ఫిల్టర్ చేయడం అవసరం, ఇది సమస్య యొక్క దోపిడీని క్లిష్టతరం చేస్తుంది, అయినప్పటికీ ఇది DNS కాష్లోకి నిష్క్రియ ఇంజెక్షన్ యొక్క అవకాశాన్ని తొలగించదు. ISPలు కార్పొరేట్ వినియోగదారులను రక్షించడానికి వారి నెట్వర్క్లలో ఈ పోర్ట్ను ఫిల్టర్ చేయాలి.
ప్రత్యామ్నాయ ప్రమాణపత్రాన్ని ఆమోదించిన వినియోగదారులందరూ ఈ ప్రమాణపత్రం ఆమోదించబడిన ఇమెయిల్ మరియు ఇతర సేవల కోసం పాస్వర్డ్ను అత్యవసరంగా మార్చాలి. మా వంతుగా, హాని కలిగించే పరికరాల ద్వారా మెయిల్ను యాక్సెస్ చేసే వినియోగదారులకు మేము తెలియజేస్తాము.
పి.ఎస్. పోస్ట్లో వివరించిన సంబంధిత దుర్బలత్వం కూడా ఉంది "".
మూలం: www.habr.com