Tag Archives: TLS

freut Euch auf die neuen Meteokarten

Posted on by

Wer in letzter Zeit unter Fedora, und vermutlich auch anderen Distros, die Kartenfunktionen von meteo benutzen wollte, bekam einfach nur eine Meldung „unacceptable TLS certificate“ zu sehen. *FIXED* und wie 😀

freut Euch auf die neuen Meteokarten

Da ich bei Fedora den Bugreport dazu eingereicht hatte, habe ich heute eine Benachrichtigung bekommen, daß die 0.9.9-2 Version fertig ist. Da habe ich gleich male in Update gemacht und muß sagen, es hat sich gelohnt. Nicht nur, daß die Karten wieder funktionieren, nein auch die Darstellung ist jetzt Windy.com angelehnt und es sieht einfach schick aus 😀

Sehr selbst:

Meteo Startkarteund wenn man da ein Ortsdetail anklickt:

Meteo ortsspzifische Temperaturdaten eingeblendet.So macht eine WetterApp richtig Spaß..  Wer war gnome-weather gleich nochmal? 😀

TLS: Reaktionen auf den ALPACA Attackvector

Posted on by

Vor ein paar Tagen wurde eine Cross-Protokoll-Attacke mit TLS bekannt, bei der auch bekannte OpenSource-Dienste wie Exim, Dovecot, Proftpd, Courier, Sendmail usw. usw. als „Bande“ beteiligt sind.

TLS: Reaktionen auf den ALPACA Attackvector

Wer die Attacke verstehen möchte, oder ganz genau hinsehen will, findet hier alles nötige: https://alpaca-attack.com/

Alle, die sich mit einem kleinen Beispiel begnĂŒgen können, hier ein Beispiel wie die Attacke ablaufen soll:

Angreifer baut eine Webseite.
Opfer besucht Webseite.
Angreifer erzeugt einen AJAX Request zu einer Opfer-Domain
Angreifer fĂŒgt einen oder mehrere spezielle Headerzeilen in den AJAX hinzu
Opferbrowser sendet Ajax an Zielserver
Angreifer lenkt ( als Man-in-the-Middle-Angriff ) Datenpaket auf einen anderen Dienst mit dem gleichen TLS-Zertifikat um
Dienst nimmt den HTTP Request zeilenweise an
Dienst reagiert auf die speziellen Headerzeilen

Was dann passiert hĂ€ngt vom Dienst ab, der als Bande missbraucht wurde. Es sind Reflectionattacks möglich, bei dem dem Browser des Opfers ĂŒber den Dienst als Bande z.b. Javascript untergejubelt werden soll, oder es in sehr speziellen FĂ€llen Zugriffe auf den zweiten Dienst gibt ( zb. wenn die Benutzervalidierung nach IP und TLS-Cert geht ).

Das sieht dann in etwa so aus:

# nc testserver 25
220 testserver.de ESMTP Exim 4.94.2 Fri, 11 Jun 2021 09:45:34 +0200
GET / HTTP/1.1
500 unrecognized command
Host: target.domain
500 unrecognized command
HELO opfer.server
250 testserver.de Hello opfer.server [x.x.x.x]
MAIL FROM: <script>Alert()</script>
501-<script>Alert()</script>: malformed address: Alert()</script> may not follow <script>
501 Too many syntax or protocol errors

Um die markierte Zeile geht es meistens, denn wenn der Browser das Ergebnis jetzt im Context der Webseite anzeigt, dann wird das ungefilterte Javascript ausgefĂŒhrt.

Bitte habt ihm Hinterkopf, das dies hier nur ein simplifiziertes Beispiel ist, um sich den Vorgang vorzustellen. In der RealitĂ€t ist der Angriff ungleich komplexer, weil der Browser mitspielen muß, es einen Man-in-the-Middle-Angriff geben muß, es möglich sein muß, die Antwort im Context einer Webseite auszufĂŒhren, die nicht unter Kontrolle des Angreifer steht usw. usw. Trivial geht anders!

OpenSource-Dienste reagieren

Obwohl Dovecot als POP3/IMAP Server eigentlich gar nicht betroffen ist, hat das Dovecot Security Team um Timo Sirainen gestern bereits reagiert und angekĂŒndigt, die Fehlertoleranzgrenze zu erniedrigen und beim Vorfinden eines HTTP Headers sofort die Verbindung zu terminieren.

Auf der Eximmailingliste fand gestern eine Ă€hnliche Diskussion statt, nur das Exim bereits lange ĂŒber eine Runtime-Konfigurationsoption verfĂŒgt, die jeder Serveradmin jetzt einsetzen sollte:

smtp_max_synprot_errors = 0

In weniger als 18h kamen auf einem System ohne relevanten Mailverkehr folgende HTTP-Anfragen auf dem Mailserver zusammen:

2021-06-10 17:09:54 SMTP call from [134.122.7.20] dropped: too many syntax or protocol errors (last command was „HEAD / HTTP/1.0“, NULL)
2021-06-10 17:09:55 SMTP call from [134.122.7.20] dropped: too many syntax or protocol errors (last command was „GET /system_api.php HTTP/1.1“, NULL)
2021-06-10 17:09:56 SMTP call from [134.122.7.20] dropped: too many syntax or protocol errors (last command was „GET /c/version.js HTTP/1.1“, NULL)
2021-06-10 17:09:58 SMTP call from [134.122.7.20] dropped: too many syntax or protocol errors (last command was „GET /streaming/clients_live.php HTTP/1.1“, NULL)
2021-06-10 17:09:59 SMTP call from [134.122.7.20] dropped: too many syntax or protocol errors (last command was „GET /stalker_portal/c/version.js HTTP/1.1“, NULL)
2021-06-10 17:10:01 SMTP call from [134.122.7.20] dropped: too many syntax or protocol errors (last command was „GET /stream/live.php HTTP/1.1“, NULL)
2021-06-10 17:17:30 SMTP call from [138.197.154.233] dropped: too many syntax or protocol errors (last command was „HEAD / HTTP/1.0“, NULL)
2021-06-10 17:17:31 SMTP call from [138.197.154.233] dropped: too many syntax or protocol errors (last command was „GET /system_api.php HTTP/1.1“, NULL)
2021-06-10 17:17:32 SMTP call from [138.197.154.233] dropped: too many syntax or protocol errors (last command was „GET /system_api.php HTTP/1.1“, NULL)
2021-06-10 17:17:34 SMTP call from [138.197.154.233] dropped: too many syntax or protocol errors (last command was „GET /c/version.js HTTP/1.1“, NULL)
2021-06-10 17:17:35 SMTP call from [138.197.154.233] dropped: too many syntax or protocol errors (last command was „GET /streaming/clients_live.php HTTP/1.1“, NULL)
2021-06-10 17:17:37 SMTP call from [138.197.154.233] dropped: too many syntax or protocol errors (last command was „GET /stalker_portal/c/version.js HTTP/1.1“, NULL)
2021-06-10 17:17:39 SMTP call from [138.197.154.233] dropped: too many syntax or protocol errors (last command was „GET /client_area/ HTTP/1.1“, NULL)
2021-06-10 17:17:40 SMTP call from [138.197.154.233] dropped: too many syntax or protocol errors (last command was „GET /stalker_portal/c/ HTTP/1.1“, NULL)
2021-06-10 17:17:42 SMTP call from [138.197.154.233] dropped: too many syntax or protocol errors (last command was „GET /stream/live.php HTTP/1.1“, NULL)
2021-06-10 19:08:50 SMTP call from [46.101.86.104] dropped: too many syntax or protocol errors (last command was „HEAD / HTTP/1.0“, NULL)
2021-06-10 19:08:51 SMTP call from [46.101.86.104] dropped: too many syntax or protocol errors (last command was „GET /system_api.php HTTP/1.1“, NULL)
2021-06-10 19:08:51 SMTP call from [46.101.86.104] dropped: too many syntax or protocol errors (last command was „GET /system_api.php HTTP/1.1“, NULL)
2021-06-10 19:08:51 SMTP call from [46.101.86.104] dropped: too many syntax or protocol errors (last command was „GET /c/version.js HTTP/1.1“, NULL)
2021-06-10 19:08:52 SMTP call from [46.101.86.104] dropped: too many syntax or protocol errors (last command was „GET /streaming/clients_live.php HTTP/1.1“, NULL)
2021-06-10 19:08:52 SMTP call from [46.101.86.104] dropped: too many syntax or protocol errors (last command was „GET /stalker_portal/c/version.js HTTP/1.1“, NULL)
2021-06-10 19:08:53 SMTP call from [46.101.86.104] dropped: too many syntax or protocol errors (last command was „GET /client_area/ HTTP/1.1“, NULL)
2021-06-10 19:08:53 SMTP call from [46.101.86.104] dropped: too many syntax or protocol errors (last command was „GET /stalker_portal/c/ HTTP/1.1“, NULL)
2021-06-10 19:08:53 SMTP call from [46.101.86.104] dropped: too many syntax or protocol errors (last command was „GET /stream/live.php HTTP/1.1“, NULL)
2021-06-10 19:54:12 SMTP call from [134.122.5.182] dropped: too many syntax or protocol errors (last command was „HEAD / HTTP/1.0“, NULL)
2021-06-10 19:54:13 SMTP call from [134.122.5.182] dropped: too many syntax or protocol errors (last command was „GET /system_api.php HTTP/1.1“, NULL)
2021-06-10 19:54:14 SMTP call from [134.122.5.182] dropped: too many syntax or protocol errors (last command was „GET /c/version.js HTTP/1.1“, NULL)
2021-06-10 19:54:15 SMTP call from [134.122.5.182] dropped: too many syntax or protocol errors (last command was „GET /streaming/clients_live.php HTTP/1.1“, NULL)
2021-06-10 19:54:17 SMTP call from [134.122.5.182] dropped: too many syntax or protocol errors (last command was „GET /stalker_portal/c/version.js HTTP/1.1“, NULL)
2021-06-10 19:54:18 SMTP call from [134.122.5.182] dropped: too many syntax or protocol errors (last command was „GET /stream/live.php HTTP/1.1“, NULL)
2021-06-10 20:21:18 SMTP call from [64.225.63.33] dropped: too many syntax or protocol errors (last command was „HEAD / HTTP/1.0“, NULL)
2021-06-10 20:21:19 SMTP call from [64.225.63.33] dropped: too many syntax or protocol errors (last command was „GET /system_api.php HTTP/1.1“, NULL)
2021-06-10 20:21:20 SMTP call from [64.225.63.33] dropped: too many syntax or protocol errors (last command was „GET /c/version.js HTTP/1.1“, NULL)
2021-06-10 20:21:21 SMTP call from [64.225.63.33] dropped: too many syntax or protocol errors (last command was „GET /streaming/clients_live.php HTTP/1.1“, NULL)
2021-06-10 20:21:23 SMTP call from [64.225.63.33] dropped: too many syntax or protocol errors (last command was „GET /stalker_portal/c/version.js HTTP/1.1“, NULL)
2021-06-10 20:21:24 SMTP call from [64.225.63.33] dropped: too many syntax or protocol errors (last command was „GET /stream/live.php HTTP/1.1“, NULL)
2021-06-11 02:27:28 SMTP call from [192.241.214.95] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)
2021-06-11 02:27:30 SMTP call from [192.241.214.95] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)
2021-06-11 02:27:30 SMTP call from [192.241.214.95] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)
2021-06-11 02:27:30 SMTP call from [192.241.214.95] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)
2021-06-11 04:46:17 SMTP call from 92.118.160.1.netsystemsresearch.com [92.118.160.1] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)
2021-06-11 08:34:31 SMTP call from scanner-21.ch1.censys-scanner.com [162.142.125.128] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)
2021-06-11 08:34:36 SMTP call from scanner-21.ch1.censys-scanner.com [162.142.125.128] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)
2021-06-11 08:34:49 SMTP call from scanner-21.ch1.censys-scanner.com [162.142.125.128] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)
2021-06-11 08:34:50 SMTP call from scanner-21.ch1.censys-scanner.com [162.142.125.128] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)
2021-06-11 08:47:19 SMTP call from [45.113.70.146] dropped: too many syntax or protocol errors (last command was „GET / HTTP/1.1“, NULL)

Dies sind noch keine ALPACA Angriffe, das ist nur der alltĂ€gliche Wahnsinn mit dem man sich als Server so rumschlagen muß.

Proftpd hat bereits vorher reagiert und ist ab Version ProFTPD ≄1.3.5e stĂ€rker gegen den Angriff abgehĂ€rtet, aber noch nicht 100% immun.

Chromium und Firefox werden Ihre Browser auch abhĂ€rten, so daß es schwieriger wird, per Ajax andere Dienste zu kontaktieren. Da aber viele Firmenserver HTTP Dienste auf nicht Standardports anbieten , könnte das im Detail schwierig werden.

VerbesserungsvorschlĂ€ge zur Absicherung von hauseigenen Pakete fĂŒr Exim, Dovecot und Co. liegen bei Fedora/Red Hat bereits vor, mĂŒssen aber noch diskuttiert werden.

UPDATE

Wer sich die ALPACA Exploits mal ansehen will, bitte schön: https://github.com/RUB-NDS/alpaca-code/tree/master/exploits

AT&T Mailserver kann kein TLS

Posted on by

Hallo,

heute befassen wir uns mal wieder mit dem Thema Mailsicherheit. Heute:

AT&T Mailserver kann kein TLS, nicht mal SSLv3

Ich habe ja bereits einige Mailserver erlebt, die gar kein TLS können, oder nur bereits gebrochene Dialekte sprechen. Meistens sind das Server von Leuten, die nicht in der Telekommunikationsbranche sind. Aber TK Firmen waren da noch nie drunter. Daher hatte mich das hier doch stark verwundert:

2021-03-26 12:55:09 1lPLyv-0002Bo-89 == abuse@att.net R=dnslookup T=remote_smtp defer (-38) H=ff-ip4-mx-vip2.prodigy.net [144.160.159.22]: a TLS session is required, but the server did not offer TLS support

ATT.net aka. AT&T kennen Amis gut. In Comedysendungen wird AT&T immer als Gag eingebaut, weil die im Mobilfunksegment ungefĂ€hr so kompetent sind, wie die Deutsche-Pre-Corona-Bahn beim Einhalten Ihres eigenen Fahrplans 🙂 Jetzt könnte man der Liste an AT&T Verfehlungen auch noch Inkompetenz beim Betreiben von Mailserver hinzufĂŒgen.

Das mein Mailserver mit seiner Aussage oben richtig liegt, zeigt auch ein Test von CheckTLS.com:

secondstest stage and result
[000.000]Trying TLS on 144.160.159.22[144.160.159.22:25] (-1)
[000.070]Server answered
[000.299]<‑‑220 flpd588.prodigy.net ESMTP Sendmail Inbound 8.15.2/8.15.2; Fri, 26 Mar 2021 06:27:18 -0700
[000.299]We are allowed to connect
[000.299]‑‑>EHLO www12-do.checktls.com
[000.368]<‑‑250-flpd588.prodigy.net Hello www12-do.checktls.com [142.93.73.156], pleased to meet you
250 ENHANCEDSTATUSCODES
[000.369]We can use this server
[000.369]TLS is not an option on this server
[000.369]‑‑>MAIL FROM:<test@checktls.com>
[000.438]<‑‑553 5.3.0 flpd588 DNSBL:RBL 521< 142.93.73.156 >_is_blocked.For assistance forward this error to abuse_rbl@abuse-att.net
[000.439]Cannot proof email address (reason: MAIL FROM rejected)
[000.439]Note: This does not affect the CheckTLS Confidence Factor
[000.439]‑‑>QUIT
[000.508]<‑‑221 2.0.0 flpd588.prodigy.net closing connection

Jetzt ratet mal wieso ich AT&T eine Abusemail schicken mußte…. DOS Angriff aus deren Netzwerk. Zum GlĂŒck nur Amateure.

Nachtrag:

Wollt Ihr noch was zu Lachen haben?

2021-03-26 14:46:25 1lPLyv-0002Bo-89 ** abuse@att.net R=dnslookup T=remote_smtp H=ff-ip4-mx-vip1.prodigy.net [144.160.159.21]: SMTP error from remote mail server after MAIL FROM:<XXX@XXXX.XX>: 553 5.3.0 flph832 DNSBL:ATTRBL 521< XX.XX.XX.XX >_is_blocked.For assistance forward this error to abuse_rbl@abuse-att.net

Der Server ist seit mehr als 10 Jahren ohne eine einzige Spamemail am Netz, weil das ein interner Server ohne Kunden von uns ist. 11 Jahre Hackfrei. Der selbe Server konnte dann an die abuse-att.net was senden 😉

Die nutzen vermutlich die gleiche veraltete DNS-Blackliste wie Fefe. Der Vorbesitzer von dem IP Netz hatte da wohl irgendwann mal Spams vermailt. Ein GlĂŒck setzen wir so schlecht gewartete Blacklisten nicht ein.

BSI aktualisiert Mailserver auf TLS 1.2.. ABER