10-mart kuni kechqurun Mail.ru qo‘llab-quvvatlash xizmati foydalanuvchilardan Mail.ru IMAP/SMTP serverlariga elektron pochta dasturlari orqali ulanish imkoni yo‘qligi haqida shikoyatlarni qabul qila boshladi. Shu bilan birga, ba'zi ulanishlar o'tmadi va ba'zilarida sertifikat xatosi ko'rsatiladi. Xatolik "server" o'z-o'zidan imzolangan TLS sertifikatini chiqarishi tufayli yuzaga kelgan.
Ikki kun ichida turli tarmoqlardagi va turli qurilmalardagi foydalanuvchilardan 10 dan ortiq shikoyatlar kelib tushdi, bu esa muammoning biron bir provayder tarmog‘ida bo‘lishi ehtimoldan yiroq emas. Muammoning batafsil tahlili shuni ko'rsatdiki, imap.mail.ru serveri (shuningdek, boshqa pochta serverlari va xizmatlari) DNS darajasida almashtirilmoqda. Bundan tashqari, foydalanuvchilarimizning faol yordami bilan biz buning sababi ularning yo'riqnoma keshiga noto'g'ri kiritilganligini aniqladik, u ham mahalliy DNS-rezolyutchi bo'lib, ko'p (lekin hammasi emas) hollarda MikroTik bo'lib chiqdi. kichik korporativ tarmoqlarda va kichik Internet-provayderlardan juda mashhur bo'lgan qurilma.
Muammo nimada
2019 yil sentyabr oyida tadqiqotchilar MikroTik RouterOS-dagi bir nechta zaifliklar (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), bu DNS keshini zaharlash hujumiga ruxsat berdi, ya'ni. marshrutizatorning DNS keshidagi DNS yozuvlarini buzish qobiliyati va CVE-2019-3978 tajovuzkorga ichki tarmoqdan kimdir o'z DNS serveriga rezolyutsiya keshini zaharlash uchun kirishni so'rashini kutmasdan, balki buni boshlashga imkon beradi. 8291 port (UDP va TCP) orqali so'rov o'zi. Zaiflik MikroTik tomonidan RouterOS 6.45.7 (barqaror) va 6.44.6 (uzoq muddatli) versiyalarida 28-yil 2019-oktabrda tuzatilgan, ammo maʼlumotlarga koʻra Aksariyat foydalanuvchilar hozirda yamoqlarni o'rnatmagan.
Ko'rinib turibdiki, bu muammo hozirda "jonli" dan faol foydalanilmoqda.
Nima uchun xavfli?
Buzg'unchi ichki tarmoqdagi foydalanuvchi tomonidan foydalanilgan har qanday xostning DNS yozuvini buzishi va shu bilan unga trafikni to'xtatishi mumkin. Agar maxfiy ma'lumotlar shifrlashsiz uzatilsa (masalan, http:// orqali TLSsiz) yoki foydalanuvchi soxta sertifikatni qabul qilishga rozi bo'lsa, tajovuzkor ulanish orqali yuborilgan barcha ma'lumotlarni, masalan, login yoki parolni olishi mumkin. Afsuski, amaliyot shuni ko'rsatadiki, agar foydalanuvchi soxta sertifikatni qabul qilish imkoniyatiga ega bo'lsa, u undan foydalanadi.
Nima uchun SMTP va IMAP serverlari va foydalanuvchilarni saqlagan narsa
Nega tajovuzkorlar veb-trafikni emas, balki elektron pochta ilovalarining SMTP/IMAP trafigini ushlab qolishga harakat qilishdi, garchi ko'pchilik foydalanuvchilar o'z pochtalariga HTTPS brauzeri orqali kirishadi?
SMTP va IMAP/POP3 orqali ishlaydigan barcha elektron pochta dasturlari foydalanuvchini xatolardan himoya qila olmaydi, standartga ko'ra himoyalanmagan yoki buzilgan ulanish orqali login va parolni yuborishiga to'sqinlik qiladi. , 2018 yilda qabul qilingan (va Mail.ru-da ancha oldin amalga oshirilgan), ular foydalanuvchini har qanday xavfsiz ulanish orqali parolni ushlab qolishdan himoya qilishlari kerak. Bundan tashqari, OAuth protokoli elektron pochta mijozlarida juda kam qo'llaniladi (u Mail.ru pochta serverlari tomonidan qo'llab-quvvatlanadi) va usiz login va parol har bir seansda uzatiladi.
Brauzerlar Man-in-the-Middle hujumlaridan biroz yaxshiroq himoyalangan bo'lishi mumkin. Barcha mail.ru muhim domenlarida, HTTPS-dan tashqari, HSTS (HTTP qat'iy transport xavfsizligi) siyosati yoqilgan. HSTS yoqilgan bo'lsa, zamonaviy brauzer foydalanuvchi xohlasa ham, soxta sertifikatni qabul qilishning oson variantini bermaydi. HSTS-ga qo'shimcha ravishda, foydalanuvchilar 2017 yildan beri Mail.ru-ning SMTP, IMAP va POP3 serverlari parollarni xavfsiz ulanish orqali o'tkazishni taqiqlaganligi sababli, bizning barcha foydalanuvchilarimiz SMTP, POP3 va IMAP orqali kirish uchun TLS-dan foydalanganligi sababli saqlanib qoldi. shuning uchun login va parol faqat foydalanuvchining o'zi soxta sertifikatni qabul qilishga rozi bo'lsa, to'xtatib qo'yishi mumkin.
Mobil foydalanuvchilarga pochtaga kirish uchun har doim Mail.ru ilovalaridan foydalanishni tavsiya qilamiz, chunki... ulardagi pochta bilan ishlash brauzerlar yoki o'rnatilgan SMTP/IMAP mijozlariga qaraganda xavfsizroq.
Nima qilish kerak
MikroTik RouterOS mikrodasturini xavfsiz versiyaga yangilash kerak. Agar biron sababga ko'ra buning iloji bo'lmasa, 8291-portda (tcp va udp) trafikni filtrlash kerak bo'lsa, bu DNS keshiga passiv kiritish imkoniyatini bartaraf etmasa ham, bu muammodan foydalanishni murakkablashtiradi. ISP korporativ foydalanuvchilarni himoya qilish uchun o'z tarmoqlarida ushbu portni filtrlashi kerak.
O'zgartirilgan sertifikatni qabul qilgan barcha foydalanuvchilar ushbu sertifikat qabul qilingan elektron pochta va boshqa xizmatlar uchun parolni zudlik bilan o'zgartirishlari kerak. O'z navbatida, biz zaif qurilmalar orqali pochtaga kirgan foydalanuvchilarni xabardor qilamiz.
PS Shuningdek, postda tasvirlangan tegishli zaiflik mavjud "".
Manba: www.habr.com