ในตอนเย็นของวันที่ 10 มีนาคม บริการสนับสนุน Mail.ru เริ่มได้รับการร้องเรียนจากผู้ใช้เกี่ยวกับการไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ Mail.ru IMAP/SMTP ผ่านทางโปรแกรมอีเมล ในเวลาเดียวกัน การเชื่อมต่อบางอย่างไม่ผ่าน และบางส่วนแสดงข้อผิดพลาดของใบรับรอง ข้อผิดพลาดมีสาเหตุมาจาก "เซิร์ฟเวอร์" ที่ออกใบรับรอง TLS ที่ลงนามด้วยตนเอง
ภายในสองวัน มีการร้องเรียนมากกว่า 10 รายการจากผู้ใช้บนเครือข่ายที่หลากหลายและอุปกรณ์ที่หลากหลาย ทำให้ไม่น่าจะเกิดปัญหาในเครือข่ายของผู้ให้บริการรายใดรายหนึ่ง การวิเคราะห์ปัญหาโดยละเอียดเพิ่มเติมพบว่าเซิร์ฟเวอร์ imap.mail.ru (รวมถึงเมลเซิร์ฟเวอร์และบริการอื่นๆ) กำลังถูกแทนที่ด้วยระดับ DNS นอกจากนี้ ด้วยความช่วยเหลือจากผู้ใช้ของเรา เราพบว่าสาเหตุคือรายการไม่ถูกต้องในแคชของเราเตอร์ ซึ่งเป็นตัวแก้ไข DNS ในเครื่องด้วย และในหลาย ๆ กรณี (แต่ไม่ใช่ทั้งหมด) กลายเป็น MikroTik อุปกรณ์ซึ่งได้รับความนิยมอย่างมากในเครือข่ายองค์กรขนาดเล็กและจากผู้ให้บริการอินเทอร์เน็ตรายเล็ก
อะไรคือปัญหา
ในเดือนกันยายน 2019 นักวิจัย
เห็นได้ชัดว่าปัญหานี้กำลังถูกเอารัดเอาเปรียบ "สด" อย่างแข็งขัน
ทำไมมันถึงเป็นอันตราย
ผู้โจมตีสามารถปลอมแปลงบันทึก DNS ของโฮสต์ใดๆ ที่เข้าถึงโดยผู้ใช้บนเครือข่ายภายใน ดังนั้นจึงขัดขวางการรับส่งข้อมูลไปยังโฮสต์นั้น หากข้อมูลที่ละเอียดอ่อนถูกส่งโดยไม่มีการเข้ารหัส (เช่น ผ่าน http:// โดยไม่มี TLS) หรือผู้ใช้ตกลงที่จะยอมรับใบรับรองปลอม ผู้โจมตีสามารถรับข้อมูลทั้งหมดที่ส่งผ่านการเชื่อมต่อ เช่น การเข้าสู่ระบบหรือรหัสผ่าน น่าเสียดายที่การปฏิบัติแสดงให้เห็นว่าหากผู้ใช้มีโอกาสที่จะยอมรับใบรับรองปลอม เขาจะใช้ประโยชน์จากมัน
เหตุใดเซิร์ฟเวอร์ SMTP และ IMAP และสิ่งที่บันทึกผู้ใช้
เหตุใดผู้โจมตีจึงพยายามสกัดกั้นการรับส่งข้อมูล SMTP/IMAP ของแอปพลิเคชันอีเมล ไม่ใช่การรับส่งข้อมูลเว็บ แม้ว่าผู้ใช้ส่วนใหญ่จะเข้าถึงอีเมลของตนผ่านเบราว์เซอร์ HTTPS
ไม่ใช่ทุกโปรแกรมอีเมลที่ทำงานผ่าน SMTP และ IMAP/POP3 จะปกป้องผู้ใช้จากข้อผิดพลาด ป้องกันไม่ให้ส่งข้อมูลการเข้าสู่ระบบและรหัสผ่านผ่านการเชื่อมต่อที่ไม่ปลอดภัยหรือถูกบุกรุก แม้ว่าจะเป็นไปตามมาตรฐานก็ตาม
เบราว์เซอร์อาจได้รับการปกป้องที่ดีขึ้นเล็กน้อยจากการโจมตีแบบ Man-in-the-Middle ในโดเมนที่สำคัญของ mail.ru ทั้งหมด นอกเหนือจาก HTTPS แล้ว นโยบาย HSTS (ความปลอดภัยในการขนส่งที่เข้มงวดของ HTTP) ยังเปิดใช้งานอยู่ เมื่อเปิดใช้งาน HSTS เบราว์เซอร์สมัยใหม่ไม่ได้ให้ตัวเลือกที่ง่ายดายแก่ผู้ใช้ในการยอมรับใบรับรองปลอม แม้ว่าผู้ใช้ต้องการก็ตาม นอกจาก HSTS แล้ว ผู้ใช้ยังได้รับการช่วยเหลือจากข้อเท็จจริงที่ว่าตั้งแต่ปี 2017 เซิร์ฟเวอร์ SMTP, IMAP และ POP3 ของ Mail.ru ห้ามไม่ให้ถ่ายโอนรหัสผ่านผ่านการเชื่อมต่อที่ไม่ปลอดภัย ผู้ใช้ของเราทุกคนใช้ TLS เพื่อเข้าถึงผ่าน SMTP, POP3 และ IMAP และ ดังนั้นการเข้าสู่ระบบและรหัสผ่านจะสามารถสกัดกั้นได้ก็ต่อเมื่อผู้ใช้เองตกลงที่จะยอมรับใบรับรองที่ปลอมแปลง
สำหรับผู้ใช้มือถือ เราแนะนำให้ใช้แอปพลิเคชัน Mail.ru เพื่อเข้าถึงเมลเสมอ เนื่องจาก... การทำงานกับเมลในนั้นปลอดภัยกว่าในเบราว์เซอร์หรือไคลเอ็นต์ SMTP/IMAP ในตัว
สิ่งที่ต้องทำ
จำเป็นต้องอัปเดตเฟิร์มแวร์ MikroTik RouterOS ให้เป็นเวอร์ชันที่ปลอดภัย หากเป็นไปไม่ได้ด้วยเหตุผลบางประการ จำเป็นต้องกรองการรับส่งข้อมูลบนพอร์ต 8291 (tcp และ udp) สิ่งนี้จะทำให้การหาประโยชน์ของปัญหายุ่งยากขึ้น แม้ว่าจะไม่กำจัดความเป็นไปได้ของการฉีดแบบพาสซีฟในแคช DNS ก็ตาม ISP ควรกรองพอร์ตนี้บนเครือข่ายของตนเพื่อปกป้องผู้ใช้ระดับองค์กร
ผู้ใช้ทุกคนที่ยอมรับใบรับรองทดแทนควรเปลี่ยนรหัสผ่านสำหรับอีเมลและบริการอื่น ๆ ที่ยอมรับใบรับรองนี้อย่างเร่งด่วน ในส่วนของเรา เราจะแจ้งเตือนผู้ใช้ที่เข้าถึงเมลผ่านอุปกรณ์ที่มีช่องโหว่
ป.ล. นอกจากนี้ยังมีช่องโหว่ที่เกี่ยวข้องตามที่อธิบายไว้ในโพสต์
ที่มา: will.com