ProHoster > Blog > internetes hírek > Az Alt-Svc HTTP fejléc használható a belső hálózat portellenőrzésére

Az Alt-Svc HTTP fejléc használható a belső hálózat portellenőrzésére

A Bostoni Egyetem kutatói fejlett támadási módszer
(CVE-2019-11728) lehetővé téve IP-címek beolvasása és hálózati portok megnyitása a felhasználó belső hálózatán, amely tűzfallal van elzárva a külső hálózattól, vagy az aktuális rendszeren (localhost). A támadás egy speciálisan kialakított oldal megnyitásakor hajtható végre a böngészőben. A javasolt technika egy HTTP-fejléc használatán alapul Alt-Svc (HTTP alternatív szolgáltatások, RFC-7838). A probléma a Firefoxban, a Chrome-ban és a motorokon alapuló böngészőkben jelentkezik, beleértve a Tor Browser és a Brave böngészőt.

Az Alt-Svc fejléc lehetővé teszi a szerver számára, hogy meghatározzon egy alternatív módot a webhely elérésére, és utasítsa a böngészőt, hogy a kérést egy új gazdagépre irányítsa át, például terheléselosztás céljából. Megadható a hálózati port is a továbbításhoz, például az 'Alt-Svc: http/1.1="other.example.com:443";ma=200' megadása arra utasítja a klienst, hogy csatlakozzon az other.example gazdagéphez .org címet, hogy megkapja a kért oldalt a 443-as hálózati porton és a HTTP/1.1 protokollon keresztül. Az „ma” paraméter határozza meg az átirányítás maximális időtartamát. A HTTP/1.1 mellett az UDP-t használó HTTP/2-over-TLS (h2), HTTP/2-over-plain text (h2c), SPDY (spdy) és QUIC (quic) protokollok támogatottak.

Az Alt-Svc HTTP fejléc használható a belső hálózat portellenőrzésére

A címek vizsgálatához a támadó webhelye egymás után kereshet a belső hálózati címek és hálózati portok között, jelként használva az ismételt kérések közötti késést.
Ha az átirányított erőforrás nem elérhető, a böngésző azonnal kap egy RST-csomagot válaszul, és azonnal elérhetetlennek jelöli az alternatív szolgáltatást, és visszaállítja a kérésben megadott átirányítási élettartamot.
Ha a hálózati port nyitva van, tovább tart a kapcsolat létrehozása (megkísérelnek kapcsolatot létesíteni a megfelelő csomagcserével), és a böngésző nem válaszol azonnal.

Az ellenőrzéssel kapcsolatos információk megszerzéséhez a támadó azonnal átirányíthatja a felhasználót egy második oldalra, amely az Alt-Svc fejlécben a támadó futó gazdagépére fog hivatkozni. Ha a kliens böngészője kérést küld erre az oldalra, akkor feltételezhetjük, hogy az első Alt-Svc kérés átirányítása visszaállításra került, és a tesztelt gazdagép és port nem érhető el. Ha a kérés nem érkezik meg, akkor az első átirányítás adatai még nem jártak le, és a kapcsolat létrejött.

Ez a módszer lehetővé teszi a böngésző által tiltólistán szereplő hálózati portok, például a levelezőszerver-portok ellenőrzését is. Egy működő támadást készítettek elő az áldozat forgalmában az iframe helyettesítésével, valamint az Alt-Svc for Firefox és a QUIC HTTP/2 protokoll használatával az UDP-portok átvizsgálására a Chrome-ban. A Tor Browserben a támadás nem használható a belső hálózat és a localhost kontextusában, de alkalmas külső gazdagépek titkos átvizsgálásának megszervezésére egy Tor kilépési csomóponton keresztül. A port szkenneléssel már probléma van Eltüntetett Firefox 68-ban.

Az Alt-Svc fejléc is használható:

  • DDoS támadások szervezésekor. Például a TLS esetében az átirányítás 60-szoros erősítési szintet biztosíthat, mivel a kezdeti ügyfélkérelem 500 bájtot vesz igénybe, a tanúsítványra adott válasz pedig körülbelül 30 KB. Ha hasonló kéréseket generál hurokban több ügyfélrendszeren, kimerítheti a kiszolgáló rendelkezésére álló hálózati erőforrásokat;

    Az Alt-Svc HTTP fejléc használható a belső hálózat portellenőrzésére

  • Az olyan szolgáltatások által biztosított adathalászat- és kártevő-ellenes mechanizmusok megkerülése, mint a Biztonságos Böngészés (a rosszindulatú gazdagépre történő átirányítás nem jár figyelmeztetéssel);
  • A felhasználó mozgásának nyomon követésének megszervezése. A módszer lényege egy olyan iframe helyettesítése, amely Alt-Svc-ben hivatkozik egy külső mozgáskövető kezelőre, amely a nyomkövetés elleni eszközök beépítésétől függetlenül meghívódik. A nyomon követés szolgáltatói szinten is lehetséges az Alt-Svc egyedi azonosítójának (véletlenszerű IP:port azonosítóként) használatával, az átmenő forgalom későbbi elemzésével;

    Az Alt-Svc HTTP fejléc használható a belső hálózat portellenőrzésére

    Az Alt-Svc HTTP fejléc használható a belső hálózat portellenőrzésére

  • Mozgástörténeti információk lekérése. Ha egy adott, Alt-Svc protokollt használó webhely képeit kéréssel beilleszti az iframe oldalába, és elemzi az Alt-Svc állapotát a forgalomban, a tranzitforgalmat elemezni képes támadó arra a következtetésre juthat, hogy a felhasználó korábban már meglátogatta a megadott webhely;
  • A behatolásjelző rendszerek zajos naplói. Az Alt-Svc segítségével kérések hullámát keltheti a rosszindulatú rendszerek felé a felhasználó nevében, és hamis támadások látszatát keltheti, hogy elrejtse a valódi támadásra vonatkozó információkat az általános kötetben.

Forrás: opennet.ru

Hozzászólás