Almaniyanın bir neçə universitetindən olan tədqiqatçılar qrupu HTTPS-ə yeni MITM hücumu hazırlayıblar ki, bu da sessiya kukilərini və digər həssas məlumatları çıxara, həmçinin başqa saytın kontekstində ixtiyari JavaScript kodunu icra edə bilər. Hücum ALPACA adlanır və müxtəlif tətbiq səviyyəsi protokollarını (HTTPS, SFTP, SMTP, IMAP, POP3) həyata keçirən, lakin ümumi TLS sertifikatlarından istifadə edən TLS serverlərinə tətbiq oluna bilər.
Hücumun mahiyyəti ondan ibarətdir ki, əgər onun şəbəkə şlüzü və ya simsiz giriş nöqtəsi üzərində nəzarəti varsa, təcavüzkar veb trafikini başqa bir şəbəkə portuna yönləndirə və TLS şifrələməsini dəstəkləyən FTP və ya poçt serveri ilə əlaqənin qurulmasını təşkil edə bilər. HTTP serveri ilə ümumi TLS sertifikatı və istifadəçinin brauzeri tələb olunan HTTP serveri ilə əlaqənin qurulduğunu güman edəcək. TLS protokolu universal olduğundan və tətbiq səviyyəli protokollara bağlı olmadığından, bütün xidmətlər üçün şifrlənmiş əlaqənin qurulması eynidir və sorğunun yanlış xidmətə göndərilməsi xətası yalnız proqramın işlənməsi zamanı şifrələnmiş seans qurulduqdan sonra müəyyən edilə bilər. göndərilən sorğunun əmrləri.
Müvafiq olaraq, məsələn, ilkin olaraq HTTPS-ə ünvanlanmış istifadəçi bağlantısını HTTPS serveri ilə paylaşılan sertifikatdan istifadə edən poçt serverinə yönləndirsəniz, TLS bağlantısı uğurla qurulacaq, lakin poçt serveri ötürülən məlumatları emal edə bilməyəcək. HTTP əmrləri verir və səhv kodu ilə cavab qaytaracaq. Bu cavab brauzer tərəfindən düzgün qurulmuş şifrələnmiş rabitə kanalı daxilində ötürülən tələb olunan saytın cavabı kimi qəbul ediləcək.
Üç hücum variantı təklif olunur:
- Doğrulama seçimləri ilə kuki əldə etmək üçün "Yüklə". Metod TLS sertifikatı ilə əhatə olunan FTP serveri onun məlumatlarını yükləməyə və əldə etməyə imkan verirsə tətbiq edilir. Bu hücum variantında təcavüzkar istifadəçinin orijinal HTTP sorğusunun hissələrini, məsələn, Kuki başlığının məzmununu saxlamağa nail ola bilər, məsələn, FTP serveri sorğunu saxlama faylı kimi şərh edərsə və ya daxil olan sorğuları tamamilə qeyd edərsə. Uğurla hücum etmək üçün təcavüzkar birtəhər saxlanılan məzmunu çıxarmalıdır. Hücum Proftpd, Microsoft IIS, vsftpd, filezilla və serv-u-ya şamil edilir.
- Saytlararası skriptin (XSS) təşkili üçün “Yükləmə”. Metod o deməkdir ki, təcavüzkar bəzi fərdi manipulyasiyalar nəticəsində məlumatları ümumi TLS sertifikatından istifadə edən xidmətə yerləşdirə bilər və bu, daha sonra istifadəçi sorğusuna cavab olaraq verilə bilər. Hücum yuxarıda qeyd olunan FTP serverlərinə, IMAP serverlərinə və POP3 serverlərinə (kuryer, cyrus, kerio-connect və zimbra) şamil edilir.
- JavaScript-i başqa saytın kontekstində işlətmək üçün "Reflection". Metod təcavüzkar tərəfindən göndərilən JavaScript kodunu ehtiva edən sorğunun müştəri hissəsinə qayıtmağa əsaslanır. Hücum yuxarıda qeyd olunan FTP serverlərinə, cyrus, kerio-connect və zimbra IMAP serverlərinə, həmçinin sendmail SMTP serverinə şamil edilir.
Məsələn, istifadəçi təcavüzkar tərəfindən idarə olunan səhifəni açdıqda, bu səhifə istifadəçinin aktiv hesabının olduğu (məsələn, bank.com) saytdan resurs sorğusuna başlaya bilər. MITM hücumu zamanı bank.com saytına ünvanlanan bu sorğu bank.com ilə paylaşılan TLS sertifikatından istifadə edən e-poçt serverinə yönləndirilə bilər. İlk xətadan sonra poçt serveri sessiyanı dayandırmadığı üçün xidmət başlıqları və "POST / HTTP/1.1" və "Host:" kimi əmrlər naməlum əmrlər kimi qəbul ediləcək (poçt serveri "500 tanınmayan əmr" qaytaracaq. hər başlıq).
Poçt serveri HTTP protokolunun xüsusiyyətlərini başa düşmür və bunun üçün xidmət başlıqları və POST sorğusunun məlumat bloku eyni şəkildə işlənir, buna görə də POST sorğusunun mətnində əmr ilə bir sətir təyin edə bilərsiniz. poçt serveri. Məsələn, siz keçə bilərsiniz: MAIL FROM: alert(1); poçt serverinin 501 səhv mesajını qaytaracağı alert(1); : xətalı ünvan: alert(1); izləməyə bilər
Bu cavab istifadəçinin brauzeri tərəfindən qəbul ediləcək, o, JavaScript kodunu təcavüzkarın ilkin olaraq açıq olan vebsaytının deyil, sorğunun göndərildiyi bank.com vebsaytının kontekstində icra edəcək, çünki cavab düzgün TLS sessiyası ərzində gəlib. , sertifikatı bank.com cavabının həqiqiliyini təsdiq etdi.
Qlobal şəbəkənin skan edilməsi göstərdi ki, ümumilikdə 1.4 milyona yaxın veb server problemdən təsirlənir və bunun üçün müxtəlif protokollardan istifadə edərək sorğuların qarışdırılması ilə hücum mümkündür. Digər tətbiq protokollarına əsaslanan TLS serverlərinin müşayiət olunduğu 119 veb server üçün real hücum ehtimalı müəyyən edilib.
Ftp serverləri pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla və serv-u, IMAP və POP3 serverləri dovecot, courier, exchange, cyrus, kerio-connect və zimbra, SMTP serverləri, sendmail, postfix, exim üçün istismar nümunələri hazırlanmışdır. , göndərilə bilən, mdaemon və opensmtpd. Tədqiqatçılar hücumun yalnız FTP, SMTP, IMAP və POP3 serverləri ilə birlikdə həyata keçirilməsi imkanlarını araşdırıblar, lakin ola bilsin ki, problem TLS-dən istifadə edən digər proqram protokollarında da baş verə bilər.
Hücumun qarşısını almaq üçün ALPN (Application Layer Protocol Negotiation) uzadılması tətbiq protokolunu nəzərə alaraq TLS sessiyasını müzakirə etmək və istifadə edildiyi halda host adına bağlanmaq üçün SNI (Server Name Indication) uzantısından istifadə etmək təklif olunur. Bir neçə domen adını əhatə edən TLS sertifikatları. Tətbiq tərəfində, əmrləri işləyərkən xətaların sayına məhdudiyyət qoymaq tövsiyə olunur, bundan sonra əlaqə dayandırılır. Hücumun qarşısını almaq üçün tədbirlərin hazırlanması prosesi ötən ilin oktyabrında başlayıb. Oxşar təhlükəsizlik tədbirləri artıq Nginx 1.21.0 (poçt proxy), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, kripto/tls (Go) və Internet Explorer-də də görülüb.
Mənbə: opennet.ru