Get best of the week

在您的MikroTik上更新RouterOS


3月10日晚上,Mail.ru支持服务开始收到用户抱怨无法通过电子邮件程序连接到Mail.ru IMAP / SMTP服务器。同时,某些连接未通过,有些显示证书错误。该错误是由“服务器”颁发自签名TLS证书这一事实引起的。
 

在两天内,来自各种网络和各种设备的用户提出了10多个投诉,这使得单个提供商不太可能在网络上出现问题。对问题的更详细分析表明,在DNS级别上有imap.mail.ru服务器(以及其他邮件服务器和服务)的替代品。此外,在用户的积极协助下,我们发现原因是路由器缓存中的条目不正确,这是本地DNS解析器的组合,并且在许多(但不是全部)情况下证明是MikroTik设备,该设备在小型公司网络中非常流行,并且在小型互联网提供商处。

问题是什么


在2019年9月,研究人员在MikroTik RouterOS中发现了多个漏洞(CVE-2019-3976,CVE-2019-3977,CVE-2019-3978,CVE-2019-3979),该漏洞允许DNS缓存中毒攻击,即 能够欺骗路由器的DNS缓存中的DNS记录,并且CVE-2019-3978允许攻击者不必等待内部网络中的某人请求其DNS服务器上的记录来毒害解析器缓存,而是通过端口本身发起这样的请求8291(UDP和TCP)。该漏洞由MikroTik于2019年10月28日在RouterOS 6.45.7(稳定版)和6.44.6(长期版)版本中修复,但是,根据研究,大多数用户目前尚未安装补丁程序。

显而易见,现在这个问题正在“实时”被积极利用。

为什么很危险


攻击者可以替换用户在内部网络上访问的任何主机的DNS记录,从而拦截发给他的流量。如果敏感信息未经加密(例如,通过http://不使用TLS)进行传输,或者用户同意接受伪​​造的证书,则攻击者可以接收通过连接发送的所有数据,例如登录名或密码。不幸的是,实践表明,如果用户有机会接受伪造的证书,那么他将使用它。

为什么选择SMTP和IMAP服务器,以及保存了哪些用户


尽管大多数用户都是通过HTTPS浏览器访问邮件的,但是为什么攻击者试图精确地拦截邮件应用程序的SMTP / IMAP通信,而不是Web通信?

并非所有SMTP和IMAP / POP3邮件程序都允许用户通过不安全或不安全的连接来发送用户名和密码,从而防止用户出错,尽管根据2018年采用RFC 8314标准(并在Mail.ru中更早实现),它们应保护用户避免通过任何不安全的连接截获密码。另外,尽管OAuth协议在邮件客户端中很少使用(Mail.ru邮件服务器支持该协议),但如果没有它,用户名和密码将在每个会话中传输。

可以更好地保护浏览器免受中间人攻击。在所有重要的mail.ru域上,除了HTTPS之外,还包括HSTS(HTTP严格传输安全性)策略。启用HSTS后,即使用户想要,现代的浏览器也无法给用户提供接受伪造证书的简单机会。自2017年以来,除了HSTS之外,用户还受到保护,因为Mail.ru SMTP,IMAP和POP3服务器禁止通过不安全的连接传输密码,我们所有的用户都使用TLS通过SMTP,POP3和IMAP进行访问,因此您可以登录并输入密码仅当用户本人同意接受欺骗的证书时才进行拦截。

对于移动用户,我们始终建议使用Mail.ru应用程序来访问邮件,因为 与在浏览器或内置SMTP / IMAP客户端中相比,在其中使用邮件更加安全。

应该做什么


您需要将MikroTik RouterOS固件更新为安全版本。如果由于某种原因这是不可能的,则有必要过滤掉端口8291(tcp和udp)上的流量,这将使问题的操作复杂化,尽管这不会消除被动注入DNS缓存的可能性。Internet服务提供商应在其网络上过滤此端口,以保护公司用户。 

所有接受伪造证书的用户都应紧急更改接受该证书的电子邮件和其他服务的密码。就我们而言,我们将通知通过易受攻击的设备输入邮件的用户。

PS在帖子中仍然描述了一个相关的漏洞卢卡·萨福诺夫(LukaSafonov)RouterOS中的Backport漏洞威胁着成千上万的设备。”

More articles:


All Articles