Ni aṣalẹ ti Oṣu Kẹta Ọjọ 10, iṣẹ atilẹyin Mail.ru bẹrẹ gbigba awọn ẹdun ọkan lati ọdọ awọn olumulo nipa ailagbara lati sopọ si awọn olupin Mail.ru IMAP/SMTP nipasẹ awọn eto imeeli. Ni akoko kanna, diẹ ninu awọn asopọ ko lọ nipasẹ, ati diẹ ninu awọn fihan aṣiṣe ijẹrisi kan. Aṣiṣe naa jẹ nitori “olupin” ti n funni ni ijẹrisi TLS ti ararẹ.
Ni ọjọ meji, diẹ sii ju awọn ẹdun ọkan 10 wa lati ọdọ awọn olumulo lori ọpọlọpọ awọn nẹtiwọọki ati pẹlu ọpọlọpọ awọn ẹrọ, ṣiṣe ko ṣeeṣe pe iṣoro naa wa ninu nẹtiwọọki ti olupese eyikeyi. Ayẹwo alaye diẹ sii ti iṣoro naa ṣafihan pe olupin imap.mail.ru (bakannaa awọn olupin meeli miiran ati awọn iṣẹ) ti wa ni rọpo ni ipele DNS. Siwaju sii, pẹlu iranlọwọ ti nṣiṣe lọwọ ti awọn olumulo wa, a rii pe idi naa jẹ titẹsi ti ko tọ ninu kaṣe ti olulana wọn, eyiti o tun jẹ ipinnu DNS agbegbe, ati eyiti ninu ọpọlọpọ (ṣugbọn kii ṣe gbogbo) awọn ọran ti jade lati jẹ MikroTik ẹrọ, olokiki pupọ ni awọn nẹtiwọọki ile-iṣẹ kekere ati lati ọdọ awọn olupese Intanẹẹti kekere.
Kini iṣoro naa
Ni Oṣu Kẹsan 2019, awọn oniwadi ọpọlọpọ awọn ailagbara ni MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), eyiti o fun laaye ikọlu majele kaṣe DNS, ie. agbara lati spoof awọn igbasilẹ DNS ni kaṣe DNS olulana, ati CVE-2019-3978 gba ẹni ti o kọlu naa laaye lati ma duro fun ẹnikan lati inu nẹtiwọọki inu lati beere iwọle si olupin DNS rẹ lati le majele kaṣe ipinnu, ṣugbọn lati bẹrẹ iru bẹ. a ìbéèrè ara nipasẹ awọn ibudo 8291 (UDP ati TCP). Ailagbara naa wa titi nipasẹ MikroTik ni awọn ẹya ti RouterOS 6.45.7 (iduroṣinṣin) ati 6.44.6 (igba pipẹ) ni Oṣu Kẹwa Ọjọ 28, Ọdun 2019, ṣugbọn ni ibamu si Pupọ awọn olumulo ko ti fi awọn abulẹ sori ẹrọ lọwọlọwọ.
O han gbangba pe iṣoro yii ti wa ni ṣiṣiṣẹ ni “ifiweranṣẹ”.
Kini idi ti o lewu
Olukọni le ṣe igbasilẹ igbasilẹ DNS ti eyikeyi ogun ti o wọle nipasẹ olumulo lori nẹtiwọọki inu, nitorinaa idilọwọ awọn ijabọ si rẹ. Ti alaye ifura ba wa ni gbigbe laisi fifi ẹnọ kọ nkan (fun apẹẹrẹ, lori http:// laisi TLS) tabi olumulo gba lati gba ijẹrisi iro, ikọlu le gba gbogbo data ti o firanṣẹ nipasẹ asopọ, bii iwọle tabi ọrọ igbaniwọle. Laanu, adaṣe fihan pe ti olumulo kan ba ni aye lati gba ijẹrisi iro, yoo lo anfani rẹ.
Kini idi ti awọn olupin SMTP ati IMAP, ati kini awọn olumulo ti o fipamọ
Kilode ti awọn olukolu gbiyanju lati da SMTP/IMAP ijabọ ti awọn ohun elo imeeli, kii ṣe ijabọ wẹẹbu, botilẹjẹpe ọpọlọpọ awọn olumulo wọle si meeli wọn nipasẹ aṣawakiri HTTPS?
Kii ṣe gbogbo awọn eto imeeli ti n ṣiṣẹ nipasẹ SMTP ati IMAP/POP3 ṣe aabo olumulo lati awọn aṣiṣe, idilọwọ fun u lati firanṣẹ iwọle ati ọrọ igbaniwọle nipasẹ asopọ ti ko ni aabo tabi ti ko ni aabo, botilẹjẹpe ni ibamu si boṣewa. , ti a gba pada ni ọdun 2018 (ati ti a ṣe ni Mail.ru pupọ tẹlẹ), wọn gbọdọ daabobo olumulo lati inu ọrọ igbaniwọle nipasẹ eyikeyi asopọ ti ko ni aabo. Ni afikun, ilana OAuth jẹ ṣọwọn lo ninu awọn alabara imeeli (o jẹ atilẹyin nipasẹ awọn olupin meeli Mail.ru), ati laisi rẹ, iwọle ati ọrọ igbaniwọle ti wa ni gbigbe ni igba kọọkan.
Awọn aṣawakiri le jẹ aabo diẹ dara julọ lodi si awọn ikọlu Eniyan-ni-Aarin. Lori gbogbo awọn ibugbe pataki mail.ru, ni afikun si HTTPS, eto imulo HTS (aabo irinna ti o muna HTTP) ti ṣiṣẹ. Pẹlu HSTS ṣiṣẹ, ẹrọ aṣawakiri ode oni ko fun olumulo ni aṣayan irọrun lati gba ijẹrisi iro, paapaa ti olumulo ba fẹ. Ni afikun si HSTS, awọn olumulo ti wa ni fipamọ nipasẹ otitọ pe lati ọdun 2017, SMTP, IMAP ati awọn olupin POP3 ti Mail.ru ṣe idiwọ gbigbe awọn ọrọ igbaniwọle lori asopọ ti ko ni aabo, gbogbo awọn olumulo wa lo TLS fun iwọle nipasẹ SMTP, POP3 ati IMAP, ati nitorina iwọle ati ọrọ igbaniwọle le ṣe idilọwọ nikan ti olumulo tikararẹ gba lati gba ijẹrisi ti o bajẹ naa.
Fun awọn olumulo alagbeka, a ṣeduro nigbagbogbo lilo awọn ohun elo Mail.ru lati wọle si meeli, nitori… ṣiṣẹ pẹlu meeli ninu wọn jẹ ailewu ju ninu awọn aṣawakiri tabi awọn alabara SMTP/IMAP ti a ṣe sinu.
Kini o yẹ ki o ṣe
O jẹ dandan lati ṣe imudojuiwọn famuwia MikroTik RouterOS si ẹya to ni aabo. Ti o ba jẹ fun idi kan eyi ko ṣee ṣe, o jẹ dandan lati ṣe àlẹmọ ijabọ lori ibudo 8291 (tcp ati udp), eyi yoo ṣe idiju ilokulo iṣoro naa, botilẹjẹpe kii yoo ṣe imukuro iṣeeṣe ti abẹrẹ palolo sinu kaṣe DNS. Awọn ISP yẹ ki o ṣe àlẹmọ ibudo yii lori awọn nẹtiwọọki wọn lati daabobo awọn olumulo ile-iṣẹ.
Gbogbo awọn olumulo ti o gba ijẹrisi aropo yẹ ki o yi ọrọ igbaniwọle pada ni iyara fun imeeli ati awọn iṣẹ miiran eyiti o gba ijẹrisi yii. Fun apakan wa, a yoo sọ fun awọn olumulo ti o wọle si meeli nipasẹ awọn ẹrọ alailagbara.
PS Wa ti tun kan ti o ni ibatan palara ti a sapejuwe ninu awọn post "".
orisun: www.habr.com