10 月 XNUMX 日晚,Mail.ru 支援服務開始收到用戶投訴,表示無法透過電子郵件程式連接到 Mail.ru IMAP/SMTP 伺服器。 同時,有些連線未通過,有些顯示憑證錯誤。 此錯誤是由「伺服器」頒發自簽章 TLS 憑證所引起的。
兩天內,來自各種網路和各種裝置的用戶收到了 10 多起投訴,因此問題不可能出在任何一家供應商的網路上。 對問題的更詳細分析表明,imap.mail.ru 伺服器(以及其他郵件伺服器和服務)正在 DNS 層級被取代。 此外,在我們用戶的積極幫助下,我們發現原因是其路由器快取中的錯誤條目,該路由器也是本地 DNS 解析器,並且在許多(但不是全部)情況下結果是 MikroTik設備,在小型企業網路和小型網路供應商中非常流行。
問題是什麼
2019 年 XNUMX 月,研究人員 MikroTik RouterOS 中的多個漏洞(CVE-2019-3976、CVE-2019-3977、CVE-2019-3978、CVE-2019-3979)允許 DNS 快取中毒攻擊,即能夠欺騙路由器 DNS 快取中的 DNS 記錄,而 CVE-2019-3978 允許攻擊者不必等待來自內部網路的某人在其 DNS 伺服器上請求條目來毒害解析器緩存,而是啟動此類攻擊通過端口8291( UDP 和TCP)發送請求。 該漏洞已被 MikroTik 於 6.45.7 年 6.44.6 月 28 日在 RouterOS 2019(穩定)和 XNUMX(長期)版本中修復,但根據 大多數用戶目前尚未安裝補丁。
很明顯,這個問題現在正在被積極地「即時」利用。
為什麼危險
攻擊者可以欺騙內部網路上使用者存取的任何主機的 DNS 記錄,從而攔截到該主機的流量。 如果敏感資訊在未加密的情況下傳輸(例如,透過 http:// 而不使用 TLS)或使用者同意接受虛假證書,則攻擊者可以獲得透過連線發送的所有數據,例如登入名稱或密碼。 不幸的是,實踐表明,如果用戶有機會接受假證書,他就會利用它。
為什麼使用 SMTP 和 IMAP 伺服器,以及什麼拯救了用戶
儘管大多數用戶透過 HTTPS 瀏覽器存取郵件,但為什麼攻擊者試圖攔截電子郵件應用程式的 SMTP/IMAP 流量,而不是 Web 流量?
儘管根據標準,並非所有透過 SMTP 和 IMAP/POP3 工作的電子郵件程式都能保護使用者免受錯誤的影響,防止他透過不安全或受損的連線發送登入名稱和密碼 ,早在 2018 年就被採用(並且在 Mail.ru 中實施得更早),它們必須保護用戶免受任何不安全連接的密碼攔截。 此外,OAuth 協定很少在電子郵件用戶端中使用(Mail.ru 郵件伺服器支援),如果沒有它,登入名稱和密碼將在每個會話中傳輸。
瀏覽器可能會更好地抵禦中間人攻擊。 在所有 mail.ru 關鍵網域上,除了 HTTPS 之外,還啟用 HSTS(HTTP 嚴格傳輸安全性)策略。 啟用 HSTS 後,現代瀏覽器不會為使用者提供接受虛假憑證的簡單選擇,即使使用者願意也是如此。 除了 HSTS 之外,自 2017 年以來,Mail.ru 的 SMTP、IMAP 和 POP3 伺服器禁止透過不安全的連線傳輸密碼,我們的所有用戶都使用 TLS 透過 SMTP、POP3 和 IMAP 進行訪問,並且因此,只有用戶本人同意接受欺騙性證書,登入名稱和密碼才能攔截。
對於行動用戶,我們始終建議使用 Mail.ru 應用程式來存取郵件,因為... 在其中處理郵件比在瀏覽器或內建 SMTP/IMAP 用戶端中更安全。
怎麼做
需要將 MikroTik RouterOS 韌體更新到安全版本。 如果由於某種原因這是不可能的,則需要過濾連接埠 8291(tcp 和 udp)上的流量,這將使問題的利用變得複雜,儘管它不會消除被動注入 DNS 快取的可能性。 ISP 應在其網路上過濾此連接埠以保護企業用戶。
所有接受替代證書的使用者應緊急更改接受該證書的電子郵件和其他服務的密碼。 就我們而言,我們將通知透過易受攻擊的裝置存取郵件的使用者。
PS 貼文中也描述了一個相關的漏洞 "".
來源: www.habr.com