10 Mart akşamı Mail.ru destek hizmeti, kullanıcılardan Mail.ru IMAP/SMTP sunucularına e-posta programları aracılığıyla bağlanılamadığı konusunda şikayetler almaya başladı. Aynı zamanda bazı bağlantılar başarısız oldu, bazıları ise sertifika hatası gösteriyor. Hata, "sunucunun" kendinden imzalı bir TLS sertifikası yayınlamasından kaynaklanmaktadır.
İki gün içinde, çeşitli ağlardaki ve çeşitli cihazlardaki kullanıcılardan 10'dan fazla şikayet geldi; bu da sorunun herhangi bir sağlayıcının ağında olma ihtimalini ortadan kaldırıyor. Sorunun daha ayrıntılı bir analizi, imap.mail.ru sunucusunun (diğer posta sunucuları ve hizmetlerinin yanı sıra) DNS düzeyinde değiştirildiğini ortaya çıkardı. Ayrıca, kullanıcılarımızın aktif yardımıyla, bunun nedeninin, aynı zamanda yerel bir DNS çözümleyici olan ve çoğu durumda (ancak hepsinde değil) MikroTik olduğu ortaya çıkan yönlendiricilerinin önbelleğine yanlış bir giriş olduğunu bulduk. küçük kurumsal ağlarda ve küçük İnternet sağlayıcılarında çok popüler olan cihaz.
Sorun nedir
Eylül 2019'da araştırmacılar MikroTik RouterOS'ta DNS önbellek zehirlenmesi saldırısına izin veren çeşitli güvenlik açıkları (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), ör. Yönlendiricinin DNS önbelleğindeki DNS kayıtlarını taklit etme yeteneği ve CVE-2019-3978, saldırganın, çözümleyici önbelleğini zehirlemek için dahili ağdan birisinin DNS sunucusunda bir giriş talep etmesini beklemesine değil, böyle bir işlemi başlatmasına olanak tanır. 8291 numaralı bağlantı noktası (UDP ve TCP) aracılığıyla kendisi bir istekte bulunur. Güvenlik açığı, MikroTik tarafından RouterOS 6.45.7 (kararlı) ve 6.44.6 (uzun vadeli) sürümlerinde 28 Ekim 2019'da düzeltildi, ancak göre Çoğu kullanıcı şu anda yamaları yüklememiştir.
Bu sorunun artık aktif olarak "canlı" olarak istismar edildiği açıktır.
neden tehlikeli
Saldırgan, iç ağda bir kullanıcı tarafından erişilen herhangi bir ana bilgisayarın DNS kaydını taklit edebilir ve böylece buna giden trafiği engelleyebilir. Hassas bilgiler şifreleme olmadan (örneğin, TLS olmadan http:// üzerinden) aktarılırsa veya kullanıcı sahte bir sertifikayı kabul etmeyi kabul ederse, saldırgan, bağlantı üzerinden gönderilen kullanıcı adı veya şifre gibi tüm verileri elde edebilir. Ne yazık ki uygulama, bir kullanıcının sahte bir sertifikayı kabul etme fırsatına sahip olması durumunda bundan yararlanacağını göstermektedir.
Neden SMTP ve IMAP sunucuları ve kullanıcıları ne kurtardı?
Çoğu kullanıcı postalarına HTTPS tarayıcısı aracılığıyla eriştiği halde, saldırganlar neden web trafiğini değil de e-posta uygulamalarının SMTP/IMAP trafiğini engellemeye çalıştı?
SMTP ve IMAP/POP3 üzerinden çalışan tüm e-posta programları, kullanıcıyı hatalardan korumaz ve standartlara uygun olmasına rağmen güvenli olmayan veya güvenliği ihlal edilmiş bir bağlantı üzerinden kullanıcı adı ve parola göndermesini engellemez. 2018'de benimsenen (ve Mail.ru'da çok daha önce uygulanan) kullanıcıyı, güvenli olmayan herhangi bir bağlantı yoluyla parola müdahalesine karşı korumalıdırlar. Ek olarak, OAuth protokolü e-posta istemcilerinde çok nadiren kullanılır (Mail.ru posta sunucuları tarafından desteklenir) ve onsuz, her oturumda kullanıcı adı ve şifre iletilir.
Tarayıcılar Ortadaki Adam saldırılarına karşı biraz daha iyi korunabilir. Tüm mail.ru kritik etki alanlarında, HTTPS'ye ek olarak HSTS (HTTP sıkı aktarım güvenliği) politikası etkinleştirilir. HSTS etkinleştirildiğinde modern bir tarayıcı, kullanıcı istese bile sahte sertifikayı kabul etmesi için kullanıcıya kolay bir seçenek sunmaz. HSTS'ye ek olarak, Mail.ru'nun SMTP, IMAP ve POP2017 sunucularının 3 yılından bu yana güvenli olmayan bir bağlantı üzerinden şifre aktarımını yasaklaması, tüm kullanıcılarımızın SMTP, POP3 ve IMAP üzerinden erişim için TLS kullanması ve bu nedenle kullanıcı adı ve parola yalnızca kullanıcının sahte sertifikayı kabul etmeyi kabul etmesi durumunda araya girebilir.
Mobil kullanıcılar için, postalara erişmek için her zaman Mail.ru uygulamalarını kullanmanızı öneririz, çünkü... bunlarda postayla çalışmak tarayıcılardan veya yerleşik SMTP/IMAP istemcilerinden daha güvenlidir.
Ne yapmalı
MikroTik RouterOS ürün yazılımını güvenli bir sürüme güncellemek gerekir. Herhangi bir nedenle bu mümkün değilse, 8291 numaralı bağlantı noktasındaki (tcp ve udp) trafiği filtrelemek gerekir; bu, DNS önbelleğine pasif enjeksiyon olasılığını ortadan kaldırmasa da, sorunun kötüye kullanılmasını zorlaştıracaktır. İSS'ler, kurumsal kullanıcıları korumak için ağlarındaki bu bağlantı noktasını filtrelemelidir.
Değiştirilen bir sertifikayı kabul eden tüm kullanıcılar, bu sertifikanın kabul edildiği e-posta ve diğer hizmetlerin şifresini acilen değiştirmelidir. Bizim açımızdan, postalara güvenlik açığı bulunan cihazlar aracılığıyla erişen kullanıcıları bilgilendireceğiz.
Not: Gönderide açıklanan ilgili bir güvenlik açığı da var "".
Kaynak: habr.com