Tim peneliti saka sawetara universitas ing Jerman wis ngembangake serangan MITM anyar ing HTTPS sing bisa ngekstrak cookie sesi lan data sensitif liyane, uga nglakokake kode JavaScript sewenang-wenang ing konteks situs liyane. Serangan kasebut diarani ALPACA lan bisa ditrapake ing server TLS sing ngetrapake protokol lapisan aplikasi sing beda (HTTPS, SFTP, SMTP, IMAP, POP3), nanging nggunakake sertifikat TLS umum.
Inti saka serangan kasebut yaiku yen dheweke duwe kontrol liwat gateway jaringan utawa titik akses nirkabel, panyerang bisa ngarahake lalu lintas web menyang port jaringan liyane lan ngatur sambungan karo FTP utawa server mail sing ndhukung enkripsi TLS lan nggunakake Sertifikat TLS sing umum karo server HTTP , lan browser pangguna bakal nganggep manawa sambungan wis digawe karo server HTTP sing dijaluk. Wiwit protokol TLS iku universal lan ora ana hubungane karo protokol tingkat aplikasi, panyiapan sambungan sing dienkripsi kanggo kabeh layanan identik lan kesalahan ngirim panjalukan menyang layanan sing salah bisa ditemtokake mung sawise nggawe sesi ndhelik nalika ngolah printah saka request dikirim.
Dadi, yen, contone, sampeyan ngarahake sambungan pangguna sing asline ditujokake menyang HTTPS menyang server surat sing nggunakake sertifikat sing dienggo bareng karo server HTTPS, sambungan TLS bakal sukses, nanging server email ora bisa ngolah sing dikirim. printah HTTP lan bakal bali respon karo kode kesalahan. Tanggepan iki bakal diproses dening browser minangka respon saka situs sing dijaluk, dikirim ing saluran komunikasi sing dienkripsi kanthi bener.
Telung opsi serangan diusulake:
- "Upload" kanggo njupuk Cookie karo paramèter otentikasi. Cara kasebut ditrapake yen server FTP sing diliputi sertifikat TLS ngidini sampeyan ngunggah lan njupuk data kasebut. Ing varian serangan iki, panyerang bisa entuk retensi bagean saka panjalukan HTTP asli pangguna, kayata isi header Cookie, contone, yen server FTP nerjemahake panyuwunan kasebut minangka nyimpen file utawa nyathet kabeh panjaluk sing mlebu. Kanggo sukses nyerang, panyerang banjur kudu ngekstrak konten sing disimpen. Serangan kasebut ditrapake kanggo Proftpd, Microsoft IIS, vsftpd, filezilla lan serv-u.
- "Unduh" kanggo ngatur skrip lintas situs (XSS). Cara kasebut nuduhake manawa panyerang, minangka asil saka sawetara manipulasi individu, bisa nyelehake data ing layanan sing nggunakake sertifikat TLS umum, sing banjur bisa ditanggepi kanggo nanggepi panjaluk pangguna. Serangan kasebut ditrapake kanggo server FTP sing kasebut ing ndhuwur, server IMAP lan server POP3 (kurir, cyrus, kerio-connect lan zimbra).
- "Refleksi" kanggo mbukak JavaScript ing konteks situs liyane. Cara kasebut adhedhasar bali menyang bagean klien saka panyuwunan, sing ngemot kode JavaScript sing dikirim dening panyerang. Serangan kasebut ditrapake kanggo server FTP sing kasebut ing ndhuwur, cyrus, kerio-connect lan zimbra server IMAP, uga server SMTP sendmail.
Contone, nalika pangguna mbukak kaca sing dikontrol dening panyerang, kaca iki bisa miwiti panjaluk sumber daya saka situs sing pangguna duwe akun aktif (contone, bank.com). Sajrone serangan MITM, panjalukan iki ditujokake menyang situs web bank.com bisa dialihake menyang server email sing nggunakake sertifikat TLS sing dituduhake karo bank.com. Wiwit server mail ora mungkasi sesi sawise kesalahan pisanan, header layanan lan printah kayata "POST / HTTP / 1.1" lan "Host:" bakal diproses minangka printah ora dingerteni (server mail bakal bali "500 unrecognized printah" kanggo saben header).
Server mail ora ngerti fitur protokol HTTP lan kanggo header layanan lan blok data panyuwunan POST diproses kanthi cara sing padha, saengga ing awak panyuwunan POST sampeyan bisa nemtokake baris kanthi prentah kanggo server mail. Contone, sampeyan bisa ngirim: MAIL FROM: alert(1); sing server mail bakal bali pesen kesalahan 501 alert(1); : alamat cacat: tandha (1); bisa uga ora ngetutake
Tanggepan iki bakal ditampa dening browser pangguna, sing bakal nglakokake kode JavaScript ing konteks dudu situs web panyerang sing wiwitane mbukak, nanging situs web bank.com sing panjaluk kasebut dikirim, amarga tanggapan kasebut teka ing sesi TLS sing bener. , sertifikat sing dikonfirmasi keaslian respon bank.com.
Pindai jaringan global nuduhake manawa umume, sekitar 1.4 yuta server web kena pengaruh masalah kasebut, sing bisa ditindakake serangan kanthi nyampur panjaluk nggunakake protokol sing beda-beda. Kemungkinan serangan nyata ditemtokake kanggo 119 ewu server web sing ana server TLS sing didhasarake ing protokol aplikasi liyane.
Conto eksploitasi wis disiapake kanggo server ftp pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla lan serv-u, server IMAP lan POP3 dovecot, kurir, exchange, cyrus, kerio-connect lan zimbra, server SMTP postfix, exim, sendmail , mailenable, mdaemon lan opensmtpd. Peneliti wis sinau kamungkinan kanggo nindakake serangan mung ing kombinasi karo FTP, SMTP, IMAP lan POP3 server, nanging bisa uga ana masalah kanggo protokol aplikasi liyane sing nggunakake TLS.
Kanggo mblokir serangan kasebut, disaranake nggunakake ekstensi ALPN (Rembugan Protokol Lapisan Aplikasi) kanggo negosiasi sesi TLS kanthi njupuk protokol aplikasi lan ekstensi SNI (Indikasi Jeneng Server) kanggo ngiket jeneng host ing kasus nggunakake. Sertifikat TLS sing nyakup sawetara jeneng domain. Ing sisih aplikasi, dianjurake kanggo mbatesi watesan jumlah kesalahan nalika ngolah printah, sawise sambungan kasebut mandheg. Proses ngembangake langkah-langkah kanggo mblokir serangan kasebut diwiwiti ing Oktober taun kepungkur. Langkah-langkah keamanan sing padha wis ditindakake ing Nginx 1.21.0 (mail proxy), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) lan Internet Explorer.
Source: opennet.ru