10 月 XNUMX 日晚,Mail.ru 支持服务开始收到用户投诉,称无法通过电子邮件程序连接到 Mail.ru IMAP/SMTP 服务器。 同时,有些连接未通过,有些显示证书错误。 该错误是由“服务器”颁发自签名 TLS 证书引起的。
两天内,来自各种网络和各种设备的用户收到了 10 多起投诉,因此问题不可能出在任何一家提供商的网络上。 对问题的更详细分析表明,imap.mail.ru 服务器(以及其他邮件服务器和服务)正在 DNS 级别被替换。 此外,在我们用户的积极帮助下,我们发现原因是其路由器缓存中的错误条目,该路由器也是本地 DNS 解析器,并且在许多(但不是全部)情况下结果是 MikroTik设备,在小型企业网络和小型互联网提供商中非常流行。
有什么问题
2019 年 XNUMX 月,研究人员 MikroTik RouterOS 中的多个漏洞(CVE-2019-3976、CVE-2019-3977、CVE-2019-3978、CVE-2019-3979)允许 DNS 缓存中毒攻击,即能够欺骗路由器 DNS 缓存中的 DNS 记录,而 CVE-2019-3978 允许攻击者不必等待内部网络中的某人请求其 DNS 服务器上的条目来毒害解析器缓存,而是启动此类攻击通过端口 8291(UDP 和 TCP)发送请求。 该漏洞已被 MikroTik 于 6.45.7 年 6.44.6 月 28 日在 RouterOS 2019(稳定)和 XNUMX(长期)版本中修复,但根据 大多数用户当前尚未安装补丁。
很明显,这个问题现在正在被积极地“实时”利用。
为什么危险
攻击者可以欺骗内部网络上用户访问的任何主机的 DNS 记录,从而拦截到该主机的流量。 如果敏感信息在未加密的情况下传输(例如,通过 http:// 而不使用 TLS)或用户同意接受虚假证书,则攻击者可以获得通过连接发送的所有数据,例如登录名或密码。 不幸的是,实践表明,如果用户有机会接受假证书,他就会利用它。
为什么使用 SMTP 和 IMAP 服务器,以及什么拯救了用户
尽管大多数用户通过 HTTPS 浏览器访问邮件,但为什么攻击者试图拦截电子邮件应用程序的 SMTP/IMAP 流量,而不是 Web 流量?
尽管根据标准,并非所有通过 SMTP 和 IMAP/POP3 工作的电子邮件程序都能保护用户免受错误的影响,防止他通过不安全或受损的连接发送登录名和密码 ,早在 2018 年就被采用(并且在 Mail.ru 中实施得更早),它们必须保护用户免遭任何不安全连接的密码拦截。 此外,OAuth 协议很少在电子邮件客户端中使用(Mail.ru 邮件服务器支持),如果没有它,登录名和密码将在每个会话中传输。
浏览器可能会更好地抵御中间人攻击。 在所有 mail.ru 关键域上,除了 HTTPS 之外,还启用 HSTS(HTTP 严格传输安全)策略。 启用 HSTS 后,现代浏览器不会为用户提供接受虚假证书的简单选择,即使用户愿意也是如此。 除了 HSTS 之外,自 2017 年以来,Mail.ru 的 SMTP、IMAP 和 POP3 服务器禁止通过不安全的连接传输密码,我们的所有用户都使用 TLS 通过 SMTP、POP3 和 IMAP 进行访问,并且因此,只有用户本人同意接受欺骗性证书,登录名和密码才能拦截。
对于移动用户,我们始终建议使用 Mail.ru 应用程序来访问邮件,因为... 在其中处理邮件比在浏览器或内置 SMTP/IMAP 客户端中更安全。
怎么做
需要将 MikroTik RouterOS 固件更新到安全版本。 如果由于某种原因这是不可能的,则需要过滤端口 8291(tcp 和 udp)上的流量,这将使问题的利用变得复杂,尽管它不会消除被动注入 DNS 缓存的可能性。 ISP 应在其网络上过滤此端口以保护企业用户。
所有接受替代证书的用户应紧急更改接受该证书的电子邮件和其他服务的密码。 就我们而言,我们将通知通过易受攻击的设备访问邮件的用户。
PS 帖子中还描述了一个相关的漏洞 "".
来源: habr.com