Saksamaa mitme ülikooli teadlaste meeskond on välja töötanud uue MITM-i rünnaku HTTPS-i vastu, mis suudab eraldada seansiküpsiseid ja muid tundlikke andmeid ning käivitada suvalise JavaScripti koodi mõne teise saidi kontekstis. Rünnak kannab nime ALPACA ja seda saab rakendada TLS-serveritele, mis rakendavad erinevaid rakenduskihi protokolle (HTTPS, SFTP, SMTP, IMAP, POP3), kuid kasutavad tavalisi TLS-sertifikaate.
Rünnaku olemus seisneb selles, et kui tal on kontroll võrgulüüsi või traadita pääsupunkti üle, saab ründaja suunata veebiliikluse teise võrguporti ja korraldada ühenduse loomise FTP või meiliserveriga, mis toetab TLS-krüptimist ja kasutab HTTP-serveriga ühine TLS-sertifikaat ja kasutaja brauser eeldab, et ühendus on loodud soovitud HTTP-serveriga. Kuna TLS-protokoll on universaalne ega ole seotud rakendustaseme protokollidega, on krüpteeritud ühenduse loomine kõigi teenuste jaoks identne ja valele teenusele päringu saatmise viga on võimalik kindlaks teha alles pärast krüpteeritud seansi loomist teenuse töötlemisel. saadetud päringu käsud.
Seega, kui suunate näiteks algselt HTTPS-ile adresseeritud kasutajaühenduse ümber meiliserverisse, mis kasutab HTTPS-serveriga jagatud sertifikaati, luuakse TLS-ühendus edukalt, kuid meiliserver ei saa edastatud sõnumit töödelda. HTTP-käsud ja tagastab vastuse veakoodiga. Seda vastust töötleb brauser vastusena soovitud saidilt, mis edastatakse õigesti loodud krüpteeritud sidekanali kaudu.
Pakutakse kolm rünnakuvõimalust:
- "Laadi üles", et hankida autentimisparameetritega küpsis. Meetod on rakendatav, kui TLS-sertifikaadiga hõlmatud FTP-server võimaldab teil oma andmeid üles laadida ja hankida. Selles ründevariandis suudab ründaja säilitada osa kasutaja algsest HTTP-päringust, näiteks küpsise päise sisu, kui FTP-server tõlgendab päringut salvestusfailina või logib sissetulevad päringud täielikult. Edukaks rünnakuks peab ründaja seejärel salvestatud sisu kuidagi ekstraktima. Rünnak on rakendatav Proftpd, Microsoft IIS, vsftpd, filezilla ja serv-u jaoks.
- "Allalaadimine" saidiülese skriptimise (XSS) korraldamiseks. Meetod eeldab, et ründaja saab mõne üksiku manipuleerimise tulemusena paigutada andmed teenusesse, mis kasutab ühist TLS-sertifikaati, mille saab seejärel väljastada vastusena kasutaja taotlusele. Rünnak on rakendatav ülalmainitud FTP-serveritele, IMAP-serveritele ja POP3-serveritele (kuller, cyrus, kerio-connect ja zimbra).
- "Reflection" JavaScripti käitamiseks teise saidi kontekstis. Meetod põhineb kliendile päringu osa tagastamisel, mis sisaldab ründaja saadetud JavaScripti koodi. Rünnak on rakendatav ülalmainitud FTP-serveritele, cyrus-, kerio-connect- ja zimbra-IMAP-serveritele, aga ka sendmaili SMTP-serverile.
Näiteks kui kasutaja avab ründaja kontrollitud lehe, võib see leht algatada ressursipäringu saidilt, kus kasutajal on aktiivne konto (nt bank.com). MITM-i rünnaku ajal saab selle veebisaidile bank.com suunatud päringu suunata e-posti serverisse, mis kasutab TLS-i sertifikaati, mida jagatakse saidiga bank.com. Kuna meiliserver ei lõpeta seanssi pärast esimest viga, töödeldakse teenuse päiseid ja käske, nagu "POST / HTTP/1.1" ja "Host:" tundmatute käskudena (e-posti server tagastab "500 unrecognized command" iga päis).
Meiliserver ei mõista HTTP-protokolli funktsioone ja selle jaoks töödeldakse teenusepäiseid ja POST-päringu andmeplokki ühtemoodi, seega saate POST-päringu kehas määrata rea käsuga meiliserver. Näiteks võite edastada: MAIL FROM: alert(1); millele meiliserver saadab veateate 501 alert(1); : valesti vormindatud aadress: alert(1); ei pruugi järgneda
Selle vastuse saab kasutaja brauser, mis käivitab JavaScripti koodi mitte ründaja algselt avatud veebisaidi kontekstis, vaid selle veebisaidi bank.com kontekstis, kuhu päring saadeti, kuna vastus tuli õige TLS-i seansi jooksul. , mille sertifikaat kinnitas bank.com vastuse autentsust.
Globaalse võrgu skaneerimine näitas, et üldiselt puudutab probleem umbes 1.4 miljonit veebiserverit, mille puhul on võimalik rünnak läbi viia päringuid segades erinevate protokollide abil. Tõelise ründe võimalus määrati 119 tuhandele veebiserverile, mille jaoks olid kaasas ka muudel rakendusprotokollidel põhinevad TLS-serverid.
Näiteid on ette valmistatud ftp-serveritele pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla ja serv-u, IMAP- ja POP3-serveritele dovecot, kuller, Exchange, cyrus, kerio-connect ja zimbra, SMTP-serverid postfix, exim, sendmail , postitatav, mdaemon ja opensmtpd. Teadlased on uurinud võimalust rünnak läbi viia ainult kombinatsioonis FTP-, SMTP-, IMAP- ja POP3-serveritega, kuid on võimalik, et probleem võib ilmneda ka teiste TLS-i kasutavate rakendusprotokollide puhul.
Rünnaku blokeerimiseks tehakse ettepanek kasutada TLS-i seansi üle läbirääkimiste pidamiseks ALPN-i (Application Layer Protocol Negotiation) laiendust, võttes arvesse rakendusprotokolli, ja laiendust SNI (Server Name Indication) hostinimega sidumiseks. TLS-sertifikaadid, mis hõlmavad mitut domeeninime. Rakenduse poolel on soovitatav piirata vigade arvu piirangut käskude töötlemisel, mille järel ühendus katkestatakse. Rünnaku tõkestamiseks mõeldud meetmete väljatöötamise protsess algas eelmise aasta oktoobris. Sarnased turvameetmed on juba kasutusele võetud versioonides Nginx 1.21.0 (postipuhverserver), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) ja Internet Explorer.
Allikas: opennet.ru