Ndị nchọpụta sitere na Mahadum Boston usoro mbuso agha
(CVE-2019-11728) nyochaa adreesị IP na imepe ọdụ ụgbọ mmiri netwọk na netwọk dị n'ime onye ọrụ, nke kpuchiri ya na netwọk mpụga site na firewall, ma ọ bụ na usoro dị ugbu a (localhost). Enwere ike ịme mwakpo ahụ mgbe ị na-emepe ibe ahaziri iche na ihe nchọgharị ahụ. Usoro a tụrụ aro gbadoro ụkwụ na iji isi okwu HTTP (Ọrụ ndị ọzọ HTTP, ). Nsogbu a na-eme na Firefox, Chrome na ihe nchọgharị dabere na injin ha, gụnyere Tor Browser na Brave.
Ihe nkụnye eji isi mee Alt-Svc na-enye ohere ka ihe nkesa ahụ kpebie ụzọ ọzọ iji nweta saịtị ahụ wee kụziere ihe nchọgharị ahụ ka ọ gbanwee arịrịọ ahụ na onye ọbịa ọhụrụ, dịka ọmụmaatụ maka nhazi ibu. Ọ dịkwa ike ịkọwa ọdụ ụgbọ mmiri maka mbugharị, dịka ọmụmaatụ, ịkọwapụta 'Alt-Svc: http/1.1="other.example.com:443";ma=200' na-agwa onye ahịa ka ọ jikọọ na onye ọbịa ọzọ.example. .org ịnata ibe a chọrọ site na iji ọdụ ụgbọ mmiri 443 na HTTP/1.1 protocol. Oke "ma" na-akọwapụta ogologo oge ntụgharịgharị kacha. Na mgbakwunye na HTTP / 1.1, HTTP / 2-over-TLS (h2), HTTP / 2-over plain ederede (h2c), SPDY (spdy) na QUIC (quic) na-eji UDP na-akwado dị ka protocol.
Ka inyochaa adreesị, saịtị onye mwakpo ahụ nwere ike chọọ n'usoro site na adreesị netwọkụ dị n'ime yana ọdụ ụgbọ mmiri nke mmasị, na-eji igbu oge n'etiti arịrịọ ugboro ugboro dị ka akara.
Ọ bụrụ na akụrụngwa ebugharịrị adịghị, ihe nchọgharị ahụ na-enweta ngwa ngwa RST ngwugwu na nzaghachi wee gosi ozugbo na ọrụ ọzọ adịghị ya wee tọgharịa oge ndụ ntụgharị akọwapụtara na arịrịọ ahụ.
Ọ bụrụ na ọdụ ụgbọ mmiri na-emeghe, ọ ga-ewe ogologo oge iji mechaa njikọ ahụ (a ga-eme mgbalị iji guzobe njikọ na ngwugwu ngwugwu kwekọrọ) na ihe nchọgharị agaghị aza ozugbo.
Iji nweta ozi gbasara nkwenye ahụ, onye mwakpo ahụ nwere ike ibugharị onye ọrụ ozugbo gaa na ibe nke abụọ, nke dị na nkụnye eji isi mee Alt-Svc ga-ezo aka na onye na-agba ọsọ onye mwakpo ahụ. Ọ bụrụ na ihe nchọgharị onye ahịa ezigara arịrịọ na ibe a, mgbe ahụ anyị nwere ike iche na nrụgharị arịrịọ Alt-Svc nke mbụ etinyegoro na ndị ọbịa na ọdụ ụgbọ mmiri a na-anwale adịghị. Ọ bụrụ na enwetaghị arịrịọ ahụ, mgbe ahụ, data gbasara redirection nke mbụ akwụsịbeghị ma guzobe njikọ ahụ.
Usoro a na-enyekwa gị ohere ịlele ọdụ ụgbọ mmiri netwọk nke ihe nchọgharị ahụ debere aha, dị ka ọdụ ụgbọ mmiri nkesa ozi. A kwadebere mwakpo na-arụ ọrụ site na iji nnọchi iframe na okporo ụzọ onye ahụ na iji HTTP/2 protocol na Alt-Svc maka Firefox na QUIC iji nyochaa ọdụ ụgbọ mmiri UDP na Chrome. Na Tor Browser, enweghị ike iji mwakpo a na ọnọdụ netwọkụ dị n'ime yana localhost, mana dabara adaba maka ịhazi nyocha nzuzo nke ndị ọbịa mpụga site na ọnụ ụzọ ọpụpụ Tor. Nsogbu dị na nyocha ọdụ ụgbọ mmiri ugbua na Firefox 68.
Enwere ike iji nkụnye eji isi mee Alt-Svc:
- Mgbe ị na-ahazi ọgụ DDoS. Dịka ọmụmaatụ, maka TLS, redirect nwere ike ịnye ọkwa uru nke ugboro 60 ebe ọ bụ na arịrịọ ndị ahịa mbụ na-ewe 500 bytes, nzaghachi ya na akwụkwọ dị ihe dịka 30 KB. Site n'ịmepụta arịrịọ ndị yiri ya na akaghị aka na ọtụtụ sistemụ ndị ahịa, ị nwere ike ikpochapụ akụrụngwa netwọkụ dị na sava ahụ;
- Ịgafe usoro mgbochi phishing na mgbochi malware nke ọrụ ndị dị ka Nchọgharị Nchekwa na-enye (ịtụgharị na onye ọbịa obi ọjọọ anaghị ebute ịdọ aka ná ntị);
- Iji hazie nsochi ngagharị nke onye ọrụ. Ihe kachasị mkpa nke usoro a bụ ngbanwe nke iframe nke na-ezo aka na Alt-Svc onye na-ahụ maka nlekota mmegharị nke mpụga, nke a na-akpọ n'agbanyeghị nsonye nke ngwaọrụ mgbochi. Ọ ga-ekwe omume soro na ọkwa onye na-enye ya site na iji ihe nchọpụta pụrụ iche na Alt-Svc (random IP: port dị ka ihe nchọpụta) na nyocha ya na-esote na okporo ụzọ njem;
- Iji weghachite ozi akụkọ mmegharị. Site n'itinye onyonyo sitere na saịtị enyere nke na-eji Alt-Svc n'ime ibe iframe ya site na ịrịọ arịrịọ na nyochaa steeti Alt-Svc na okporo ụzọ, onye na-awakpo nke nwere ikike inyocha okporo ụzọ njem nwere ike ikwubi na onye ọrụ ahụ agabula ụzọ a kapịrị ọnụ. saịtị;
- Ndekọ mkpọtụ nke sistemu nchọpụta mbanye. Site na Alt-Svc, ị nwere ike bute arịrịọ nke sistemu obi ọjọọ n'aha onye ọrụ wee mepụta ụdị ọgụ ụgha iji zoo ozi gbasara ezigbo ọgụ n'ozuzu oke.
isi: opennet.ru
