โปรโฮสต์ > บล็อก > การบริหาร > อัปเดต RouterOS บน MikroTik ของคุณ

อัปเดต RouterOS บน MikroTik ของคุณ

อัปเดต RouterOS บน MikroTik ของคุณ
ในตอนเย็นของวันที่ 10 มีนาคม บริการสนับสนุน Mail.ru เริ่มได้รับการร้องเรียนจากผู้ใช้เกี่ยวกับการไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ Mail.ru IMAP/SMTP ผ่านทางโปรแกรมอีเมล ในเวลาเดียวกัน การเชื่อมต่อบางอย่างไม่ผ่าน และบางส่วนแสดงข้อผิดพลาดของใบรับรอง ข้อผิดพลาดมีสาเหตุมาจาก "เซิร์ฟเวอร์" ที่ออกใบรับรอง TLS ที่ลงนามด้วยตนเอง
 
อัปเดต RouterOS บน MikroTik ของคุณ
ภายในสองวัน มีการร้องเรียนมากกว่า 10 รายการจากผู้ใช้บนเครือข่ายที่หลากหลายและอุปกรณ์ที่หลากหลาย ทำให้ไม่น่าจะเกิดปัญหาในเครือข่ายของผู้ให้บริการรายใดรายหนึ่ง การวิเคราะห์ปัญหาโดยละเอียดเพิ่มเติมพบว่าเซิร์ฟเวอร์ imap.mail.ru (รวมถึงเมลเซิร์ฟเวอร์และบริการอื่นๆ) กำลังถูกแทนที่ด้วยระดับ DNS นอกจากนี้ ด้วยความช่วยเหลือจากผู้ใช้ของเรา เราพบว่าสาเหตุคือรายการไม่ถูกต้องในแคชของเราเตอร์ ซึ่งเป็นตัวแก้ไข DNS ในเครื่องด้วย และในหลาย ๆ กรณี (แต่ไม่ใช่ทั้งหมด) กลายเป็น MikroTik อุปกรณ์ซึ่งได้รับความนิยมอย่างมากในเครือข่ายองค์กรขนาดเล็กและจากผู้ให้บริการอินเทอร์เน็ตรายเล็ก

อะไรคือปัญหา

ในเดือนกันยายน 2019 นักวิจัย พบ ช่องโหว่หลายประการใน MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979) ซึ่งทำให้เกิดการโจมตีพิษแคช DNS เช่น ความสามารถในการปลอมแปลงบันทึก DNS ในแคช DNS ของเราเตอร์ และ CVE-2019-3978 ช่วยให้ผู้โจมตีไม่ต้องรอให้ใครบางคนจากเครือข่ายภายในร้องขอรายการบนเซิร์ฟเวอร์ DNS ของเขาเพื่อที่จะวางพิษให้กับแคชตัวแก้ไข แต่เพื่อเริ่มต้นดังกล่าว ร้องขอตัวเองผ่านพอร์ต 8291 (UDP และ TCP) ช่องโหว่นี้ได้รับการแก้ไขโดย MikroTik ในเวอร์ชันของ RouterOS 6.45.7 (เสถียร) และ 6.44.6 (ระยะยาว) เมื่อวันที่ 28 ตุลาคม 2019 แต่ตาม ภาษา ผู้ใช้ส่วนใหญ่ยังไม่ได้ติดตั้งแพตช์ในขณะนี้

เห็นได้ชัดว่าปัญหานี้กำลังถูกเอารัดเอาเปรียบ "สด" อย่างแข็งขัน

ทำไมมันถึงเป็นอันตราย

ผู้โจมตีสามารถปลอมแปลงบันทึก DNS ของโฮสต์ใดๆ ที่เข้าถึงโดยผู้ใช้บนเครือข่ายภายใน ดังนั้นจึงขัดขวางการรับส่งข้อมูลไปยังโฮสต์นั้น หากข้อมูลที่ละเอียดอ่อนถูกส่งโดยไม่มีการเข้ารหัส (เช่น ผ่าน http:// โดยไม่มี TLS) หรือผู้ใช้ตกลงที่จะยอมรับใบรับรองปลอม ผู้โจมตีสามารถรับข้อมูลทั้งหมดที่ส่งผ่านการเชื่อมต่อ เช่น การเข้าสู่ระบบหรือรหัสผ่าน น่าเสียดายที่การปฏิบัติแสดงให้เห็นว่าหากผู้ใช้มีโอกาสที่จะยอมรับใบรับรองปลอม เขาจะใช้ประโยชน์จากมัน

เหตุใดเซิร์ฟเวอร์ SMTP และ IMAP และสิ่งที่บันทึกผู้ใช้

เหตุใดผู้โจมตีจึงพยายามสกัดกั้นการรับส่งข้อมูล SMTP/IMAP ของแอปพลิเคชันอีเมล ไม่ใช่การรับส่งข้อมูลเว็บ แม้ว่าผู้ใช้ส่วนใหญ่จะเข้าถึงอีเมลของตนผ่านเบราว์เซอร์ HTTPS

ไม่ใช่ทุกโปรแกรมอีเมลที่ทำงานผ่าน SMTP และ IMAP/POP3 จะปกป้องผู้ใช้จากข้อผิดพลาด ป้องกันไม่ให้ส่งข้อมูลการเข้าสู่ระบบและรหัสผ่านผ่านการเชื่อมต่อที่ไม่ปลอดภัยหรือถูกบุกรุก แม้ว่าจะเป็นไปตามมาตรฐานก็ตาม RFC 8314ซึ่งนำมาใช้ในปี 2018 (และใช้งานใน Mail.ru ก่อนหน้านี้มาก) พวกเขาจะต้องปกป้องผู้ใช้จากการสกัดกั้นรหัสผ่านผ่านการเชื่อมต่อที่ไม่ปลอดภัย นอกจากนี้โปรโตคอล OAuth ยังไม่ค่อยได้ใช้ในไคลเอนต์อีเมล (รองรับโดยเซิร์ฟเวอร์เมล Mail.ru) และหากไม่มีการเข้าสู่ระบบและรหัสผ่านจะถูกส่งในแต่ละเซสชัน

เบราว์เซอร์อาจได้รับการปกป้องที่ดีขึ้นเล็กน้อยจากการโจมตีแบบ Man-in-the-Middle ในโดเมนที่สำคัญของ mail.ru ทั้งหมด นอกเหนือจาก HTTPS แล้ว นโยบาย HSTS (ความปลอดภัยในการขนส่งที่เข้มงวดของ HTTP) ยังเปิดใช้งานอยู่ เมื่อเปิดใช้งาน HSTS เบราว์เซอร์สมัยใหม่ไม่ได้ให้ตัวเลือกที่ง่ายดายแก่ผู้ใช้ในการยอมรับใบรับรองปลอม แม้ว่าผู้ใช้ต้องการก็ตาม นอกจาก HSTS แล้ว ผู้ใช้ยังได้รับการช่วยเหลือจากข้อเท็จจริงที่ว่าตั้งแต่ปี 2017 เซิร์ฟเวอร์ SMTP, IMAP และ POP3 ของ Mail.ru ห้ามไม่ให้ถ่ายโอนรหัสผ่านผ่านการเชื่อมต่อที่ไม่ปลอดภัย ผู้ใช้ของเราทุกคนใช้ TLS เพื่อเข้าถึงผ่าน SMTP, POP3 และ IMAP และ ดังนั้นการเข้าสู่ระบบและรหัสผ่านจะสามารถสกัดกั้นได้ก็ต่อเมื่อผู้ใช้เองตกลงที่จะยอมรับใบรับรองที่ปลอมแปลง

สำหรับผู้ใช้มือถือ เราแนะนำให้ใช้แอปพลิเคชัน Mail.ru เพื่อเข้าถึงเมลเสมอ เนื่องจาก... การทำงานกับเมลในนั้นปลอดภัยกว่าในเบราว์เซอร์หรือไคลเอ็นต์ SMTP/IMAP ในตัว

สิ่งที่ต้องทำ

จำเป็นต้องอัปเดตเฟิร์มแวร์ MikroTik RouterOS ให้เป็นเวอร์ชันที่ปลอดภัย หากเป็นไปไม่ได้ด้วยเหตุผลบางประการ จำเป็นต้องกรองการรับส่งข้อมูลบนพอร์ต 8291 (tcp และ udp) สิ่งนี้จะทำให้การหาประโยชน์ของปัญหายุ่งยากขึ้น แม้ว่าจะไม่กำจัดความเป็นไปได้ของการฉีดแบบพาสซีฟในแคช DNS ก็ตาม ISP ควรกรองพอร์ตนี้บนเครือข่ายของตนเพื่อปกป้องผู้ใช้ระดับองค์กร 

ผู้ใช้ทุกคนที่ยอมรับใบรับรองทดแทนควรเปลี่ยนรหัสผ่านสำหรับอีเมลและบริการอื่น ๆ ที่ยอมรับใบรับรองนี้อย่างเร่งด่วน ในส่วนของเรา เราจะแจ้งเตือนผู้ใช้ที่เข้าถึงเมลผ่านอุปกรณ์ที่มีช่องโหว่

ป.ล. นอกจากนี้ยังมีช่องโหว่ที่เกี่ยวข้องตามที่อธิบายไว้ในโพสต์ ลูก้าซาโฟนอฟ "ช่องโหว่ Backport ใน RouterOS ทำให้อุปกรณ์หลายแสนเครื่องตกอยู่ในความเสี่ยง".

ที่มา: will.com

เพิ่มความคิดเห็น