10月XNUMX日晚,Mail.ru 支援服務開始收到用戶投訴,表示無法透過郵件程式連接到 Mail.ru 的 IMAP/SMTP 伺服器。有些連線無法成功,有些則顯示憑證錯誤。該錯誤是由於「伺服器」提供了自簽名 TLS 憑證而導致的。
在兩天的時間裡,我們收到了來自不同網路和不同設備用戶的十多起投訴,因此問題不太可能出在單一供應商的網路中。對問題進行更詳細的分析後發現,imap.mail.ru 伺服器(以及其他郵件伺服器和服務)的 DNS 等級被取代了。隨後,在使用者的積極幫助下,我們發現問題出在路由器快取中的錯誤條目。路由器本身也是一個本機 DNS 解析器,在許多情況下(但並非所有情況下)都使用了 MikroTik 設備,這種設備在小型企業網路和小型網路供應商中非常流行。
問題是什麼
2019 年 XNUMX 月,研究人員 MikroTik RouterOS 中存在多個漏洞(CVE-2019-3976、CVE-2019-3977、CVE-2019-3978 和 CVE-2019-3979),這些漏洞允許攻擊者執行 DNS 快取投毒攻擊,即替換 DNS DNS 快取中的 記錄。 CVE-2019-3978 允許攻擊者無需等待內部網路的攻擊者向其 DNS 伺服器請求記錄即可投毒解析器緩存,而是透過連接埠 8291(UDP 和 TCP)自行發起此類請求。 MikroTik 已於 6.45.7 年 6.44.6 月 28 日在 RouterOS 2019(穩定版)和 XNUMX(長期版)版本中修復了該漏洞。 目前大多數用戶尚未安裝補丁。
顯然,這個問題現在正被積極地「現場」利用。
為什麼它很危險?
攻擊者可以取代內部網路使用者存取的任何主機的 DNS 記錄,從而攔截發送到該主機的流量。如果敏感資訊未加密傳輸(例如,透過未啟用 TLS 的 http:// 協定傳輸),或者使用者同意接受偽造證書,攻擊者就可以獲得透過連線發送的所有數據,例如登入名稱或密碼。不幸的是,實踐表明,如果用戶有機會接受偽造證書,他就會利用它。
為什麼要使用 SMTP 和 IMAP 伺服器?它們如何拯救用戶
儘管大多數用戶都是透過 HTTPS 瀏覽器存取郵件,但為什麼攻擊者試圖攔截郵件應用程式的 SMTP/IMAP 流量,而不是網路流量?
並非所有透過 SMTP 和 IMAP/POP3 工作的郵件程式都能保護使用者免受錯誤的影響,不允許使用者透過不安全或受損的連線發送登入名稱和密碼,儘管根據標準 早在 2018 年就已採用(Mail.ru 更早實現了),這些協定應該能夠保護用戶免受任何不安全連線密碼攔截的影響。此外,OAuth 協定在郵件用戶端中很少使用(Mail.ru 郵件伺服器支援該協定),如果沒有該協議,登入名稱和密碼都會在每次會話中傳輸。
瀏覽器可以更好地抵禦中間人攻擊。所有關鍵的 mail.ru 網域除了啟用 HTTPS 之外,還啟用了 HSTS(HTTP 嚴格傳輸安全)策略。啟用 HSTS 後,現代瀏覽器即使使用者願意,也不會輕易接受偽造憑證。除了 HSTS 之外,自 2017 年以來,Mail.ru 的 SMTP、IMAP 和 POP3 伺服器禁止透過不安全的連線傳輸密碼,所有用戶都使用 TLS 透過 SMTP、POP3 和 IMAP 進行訪問,因此只有用戶本人同意接受替換的證書,登入名稱和密碼才能被攔截,這也為用戶帶來了安全保障。
對於行動用戶,我們始終建議使用 Mail.ru 應用程式存取郵件,因為在其中處理郵件比在瀏覽器或內建 SMTP/IMAP 用戶端中更安全。
怎麼做
有必要將 MikroTik RouterOS 韌體更新至安全版本。如果由於某種原因無法更新,則需要過濾連接埠 8291(TCP 和 UDP)上的流量,這將使漏洞利用更加困難,儘管這並不能完全消除 DNS 快取被被動注入的可能性。網際網路服務供應商應在其網路上過濾此端口,以保護企業用戶。
所有接受替換憑證的使用者應立即變更其電子郵件密碼以及已接受此憑證的其他服務。我們將通知透過易受攻擊的裝置存取其電子郵件的使用者。
P.S. 文章中也描述了一個相關漏洞 "".
來源: www.habr.com
