Шоми 10 март хадамоти дастгирии Mail.ru ба дарёфти шикоятҳо аз корбарон дар бораи имкони пайваст шудан ба серверҳои Mail.ru IMAP/SMTP тавассути барномаҳои почтаи электронӣ шурӯъ кард. Дар айни замон, баъзе пайвастҳо нагузаштанд ва баъзеҳо хатогии сертификатро нишон медиҳанд. Хатогӣ аз он ба вуҷуд омадааст, ки "сервер" шаҳодатномаи худ имзошудаи TLS медиҳад.
Дар тӯли ду рӯз, беш аз 10 шикоят аз корбарон дар шабакаҳои гуногун ва дастгоҳҳои гуногун ворид шуд, ки эҳтимол нест, ки мушкилот дар шабакаи ягон провайдер бошад. Таҳлили муфассали мушкилот нишон дод, ки сервери imap.mail.ru (инчунин серверҳои почтаи электронӣ ва хидматҳои дигар) дар сатҳи DNS иваз карда мешавад. Ғайр аз он, бо кӯмаки фаъоли корбарони мо, мо фаҳмидем, ки сабаби он дар кэши роутери онҳо, ки инчунин ҳалли DNS-и маҳаллӣ мебошад ва дар бисёр ҳолатҳо (вале на ҳама) микроТик будааст. дастгоҳ, ки дар шабакаҳои хурди корпоративӣ ва аз провайдерҳои хурди интернет хеле маъмул аст.
Мушкил чист
Дар моҳи сентябри соли 2019, муҳаққиқон якчанд осебпазирӣ дар MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), ки ба ҳамлаи заҳролудшавии кэши DNS имкон дод, яъне. қобилияти қаллобӣ кардани сабтҳои DNS дар кэши DNS роутер ва CVE-2019-3978 ба ҳамлагар имкон медиҳад, ки мунтазир нашаванд, ки касе аз шабакаи дохилӣ дархости воридшавӣ ба сервери DNS-и худро бо мақсади заҳролуд кардани кэши резольвер, балки оғоз кунад. дархост тавассути бандари 8291 (UDP ва TCP). Осебият аз ҷониби MikroTik дар версияҳои RouterOS 6.45.7 (устувор) ва 6.44.6 (дарозмуддат) 28 октябри соли 2019 ислоҳ карда шуд, аммо мувофиқи Аксари корбарон дар айни замон часбҳоро насб накардаанд.
Маълум аст, ки ин проблема холо «зинда» фаъолона истифода бурда мешавад.
Чаро хатарнок аст
Ҳамлагар метавонад сабти DNS-и ҳама гуна хостеро, ки аз ҷониби корбар дар шабакаи дохилӣ дастрас аст, қаллобӣ кунад ва ба ин васила трафикро ба он боздорад. Агар маълумоти махфӣ бе рамзгузорӣ интиқол дода шавад (масалан, тавассути http:// бе TLS) ё корбар барои қабули шаҳодатномаи қалбакӣ розӣ бошад, ҳамлакунанда метавонад тамоми маълумоти тавассути пайвастшавӣ фиристодашударо, ба монанди логин ё парол ба даст орад. Мутаассифона, таҷриба нишон медиҳад, ки агар корбар имкони қабули шаҳодатномаи қалбакиро дошта бошад, аз он истифода мебарад.
Чаро серверҳои SMTP ва IMAP ва чӣ корбаронро наҷот доданд
Чаро ҳамлагарон кӯшиш карданд, ки трафики SMTP/IMAP-и замимаҳои почтаи электрониро боздошт кунанд, на трафики веб, гарчанде ки аксари корбарон тавассути браузери HTTPS ба почтаи худ дастрасӣ пайдо мекунанд?
На ҳама барномаҳои почтаи электронӣ, ки тавассути SMTP ва IMAP/POP3 кор мекунанд, корбарро аз хатогиҳо муҳофизат карда, ӯро аз ирсоли логин ва парол тавассути пайвасти эмин ё вайроншуда пешгирӣ мекунанд, гарчанде тибқи стандарт , ки дар соли 2018 қабул шуда буд (ва дар Mail.ru хеле пештар амалӣ карда шуда буд), онҳо бояд корбарро аз боздоштани парол тавассути ҳама гуна пайвасти бехатар муҳофизат кунанд. Илова бар ин, протоколи OAuth дар муштариёни почтаи электронӣ хеле кам истифода мешавад (онро серверҳои почтаи Mail.ru дастгирӣ мекунанд) ва бидуни он, логин ва парол дар ҳар як сессия интиқол дода мешаванд.
Браузерҳо метавонанд аз ҳамлаҳои Man-in-the-Middle каме беҳтар муҳофизат карда шаванд. Дар ҳама доменҳои муҳими mail.ru, ба ғайр аз HTTPS, сиёсати HSTS (HTTP Strict Transport Security) фаъол аст. Ҳангоми фаъол кардани HSTS, браузери муосир ба корбар имкони осони қабули шаҳодатномаи қалбакиро намедиҳад, ҳатто агар корбар мехоҳад. Илова ба HSTS, корбарон аз он наҷот ёфтанд, ки аз соли 2017 серверҳои SMTP, IMAP ва POP3-и Mail.ru интиқоли паролҳоро тавассути пайвасти бехатар манъ мекунанд, ҳамаи корбарони мо TLS-ро барои дастрасӣ тавассути SMTP, POP3 ва IMAP истифода мекарданд ва аз ин рӯ, логин ва парол метавонад танҳо дар сурате боздошта шавад, ки худи корбар барои қабули сертификати қаллобӣ розӣ бошад.
Барои корбарони мобилӣ, мо ҳамеша тавсия медиҳем, ки замимаҳои Mail.ru барои дастрасӣ ба почта истифода барем, зеро... кор бо почта дар онҳо нисбат ба браузерҳо ё муштариёни дарунсохт SMTP/IMAP бехатартар аст.
Чӣ бояд кард
Барои навсозии нармафзори MikroTik RouterOS ба версияи бехатар зарур аст. Агар бо ягон сабаб ин имконнопазир бошад, пас трафикро дар порти 8291 (tcp ва udp) филтр кардан лозим аст, ин истифодаи мушкилотро мушкилтар мекунад, гарчанде ки он имкони воридкунии ғайрифаъолро ба кэши DNS-ро аз байн намебарад. ISP-ҳо бояд ин портро дар шабакаҳои худ филтр кунанд, то корбарони корпоративиро муҳофизат кунанд.
Ҳама корбароне, ки сертификати ивазшударо қабул кардаанд, бояд пароли почтаи электронӣ ва дигар хидматҳоеро, ки барои онҳо ин сертификат қабул шудааст, иваз кунанд. Дар навбати худ, мо корбаронеро, ки тавассути дастгоҳҳои осебпазир ба почта дастрасӣ доранд, огоҳ хоҳем кард.
PS. Ҳамчунин осебпазирии алоқаманде вуҷуд дорад, ки дар ин мақола тасвир шудааст "".
Манбаъ: will.com