Hópur vísindamanna frá nokkrum háskólum í Þýskalandi hefur þróað nýja MITM árás á HTTPS sem getur dregið út setukökur og önnur viðkvæm gögn, auk þess að framkvæma handahófskenndan JavaScript kóða í samhengi við aðra síðu. Árásin er kölluð ALPACA og er hægt að beita henni á TLS netþjóna sem innleiða mismunandi samskiptareglur forritalags (HTTPS, SFTP, SMTP, IMAP, POP3), en nota algeng TLS vottorð.
Kjarni árásarinnar er að ef hann hefur stjórn á netgátt eða þráðlausum aðgangsstað getur árásarmaðurinn vísað vefumferð yfir á annað netgátt og skipulagt tengingu við FTP eða póstþjón sem styður TLS dulkóðun og notar TLS vottorð sem er algengt með HTTP netþjóninum og vafri notandans mun gera ráð fyrir að tenging hafi verið komið á við umbeðinn HTTP netþjón. Þar sem TLS-samskiptareglur eru alhliða og eru ekki bundnar við samskiptareglur á forritastigi, er stofnun dulkóðaðrar tengingar fyrir alla þjónustu eins og villuna við að senda beiðni á ranga þjónustu er aðeins hægt að ákvarða eftir að dulkóðuð lota hefur verið stofnuð á meðan vinna úr skipunum sendrar beiðni.
Í samræmi við það, ef þú til dæmis vísar notendatengingu sem upphaflega var beint að HTTPS yfir á póstþjón sem notar vottorð sem deilt er með HTTPS þjóninum, mun TLS tengingin verða tekin upp, en póstþjónninn mun ekki geta unnið úr sendingu HTTP skipanir og mun skila svari með villukóða. Þetta svar verður unnið af vafranum sem svar frá umbeðinni síðu, sent innan rétt settrar dulkóðaðrar samskiptarásar.
Þrír árásarmöguleikar eru lagðir til:
- „Hladdu upp“ til að sækja fótspor með auðkenningarfæribreytum. Aðferðin á við ef FTP-þjónninn sem TLS vottorðið nær til gerir þér kleift að hlaða upp og sækja gögnin sín. Í þessu árásarafbrigði getur árásarmaðurinn náð að varðveita hluta af upprunalegri HTTP beiðni notandans, svo sem innihaldi kökuhaussins, til dæmis, ef FTP þjónninn túlkar beiðnina sem vistunarskrá eða skráir innkomnar beiðnir algjörlega. Til að ráðast á með góðum árangri þarf árásarmaðurinn síðan að draga út geymt efni á einhvern hátt. Árásin á við Proftpd, Microsoft IIS, vsftpd, filezilla og serv-u.
- „Hlaða niður“ til að skipuleggja forskriftir yfir vefsvæði (XSS). Aðferðin felur í sér að árásarmaðurinn, sem afleiðing af einstökum aðgerðum, getur sett gögn í þjónustu sem notar sameiginlegt TLS vottorð, sem síðan er hægt að gefa út sem svar við beiðni notenda. Árásin á við um ofangreinda FTP netþjóna, IMAP netþjóna og POP3 netþjóna (hraðboði, cyrus, kerio-connect og zimbra).
- „Reflection“ til að keyra JavaScript í samhengi við aðra síðu. Aðferðin byggist á því að senda aftur til viðskiptavinar hluta beiðninnar, sem inniheldur JavaScript kóðann sem árásarmaðurinn sendi. Árásin á við um ofangreinda FTP netþjóna, cyrus, kerio-connect og zimbra IMAP netþjóna, sem og sendmail SMTP miðlara.
Til dæmis, þegar notandi opnar síðu sem stjórnað er af árásarmanni, getur þessi síða sett af stað beiðni um tilföng frá síðu þar sem notandinn er með virkan reikning (til dæmis bank.com). Meðan á MITM árás stendur er hægt að beina þessari beiðni sem beint er til bank.com vefsíðunnar á tölvupóstþjón sem notar TLS vottorð sem er deilt með bank.com. Þar sem póstþjónninn lýkur ekki lotunni eftir fyrstu villuna verða þjónustuhausar og skipanir eins og „POST / HTTP/1.1“ og „Host:“ unnar sem óþekktar skipanir (póstþjónninn mun skila „500 óþekkt skipun“ fyrir hvern haus).
Póstþjónninn skilur ekki eiginleika HTTP samskiptareglunnar og fyrir hana eru þjónustuhausar og gagnablokk POST beiðninnar unnin á sama hátt, þannig að í meginmáli POST beiðninnar er hægt að tilgreina línu með skipun til að póstþjóninn. Til dæmis geturðu sent: PÓST FRÁ: alert(1); sem póstþjónninn mun skila 501 villuboði til alert(1); : rangt heimilisfang: viðvörun(1); má ekki fylgja
Þetta svar mun berast í vafra notandans, sem mun keyra JavaScript kóðann í samhengi ekki við upphaflega opna vefsíðu árásarmannsins, heldur vefsíðu bank.com sem beiðnin var send á, þar sem svarið kom innan réttrar TLS lotu , vottorðið sem staðfesti áreiðanleika svars bank.com.
Skönnun á alheimsnetinu sýndi að almennt eru um 1.4 milljónir vefþjóna fyrir áhrifum af vandamálinu, sem hægt er að gera árás á með því að blanda saman beiðnum með mismunandi samskiptareglum. Möguleikinn á raunverulegri árás var ákvarðaður fyrir 119 þúsund vefþjóna sem voru meðfylgjandi TLS netþjónar byggðir á öðrum samskiptareglum forrita.
Dæmi um hetjudáð hafa verið útbúin fyrir ftp netþjóna pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla og serv-u, IMAP og POP3 netþjóna dovecot, courier, exchange, cyrus, kerio-connect og zimbra, SMTP netþjónar postfix, exim, sendmail , mailenable, mdaemon og opensmtpd. Vísindamenn hafa rannsakað möguleikann á að framkvæma árás aðeins í samsetningu með FTP, SMTP, IMAP og POP3 netþjónum, en það er mögulegt að vandamálið gæti einnig komið upp fyrir aðrar samskiptareglur forrita sem nota TLS.
Til að hindra árásina er lagt til að nota ALPN (Application Layer Protocol Negotiation) viðbótina til að semja um TLS lotu að teknu tilliti til samskiptareglur forritsins og SNI (Server Name Indication) viðbótina til að bindast hýsilheitinu ef um er að ræða notkun TLS vottorð sem ná yfir nokkur lén. Á umsóknarhliðinni er mælt með því að takmarka fjölda villna við vinnslu skipana, eftir það er tengingunni slitið. Ferlið við að þróa aðgerðir til að koma í veg fyrir árásina hófst í október á síðasta ári. Svipaðar öryggisráðstafanir hafa þegar verið gerðar í Nginx 1.21.0 (póstumboð), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) og Internet Explorer.
Heimild: opennet.ru