Германияның бірнеше университеттерінің зерттеушілер тобы сессияның cookie файлдарын және басқа да құпия деректерді шығарып алуға, сондай-ақ басқа сайт контекстінде еркін JavaScript кодын орындауға болатын HTTPS-ке жаңа MITM шабуылын әзірледі. Шабуыл ALPACA деп аталады және әртүрлі қолданбалы деңгей протоколдарын (HTTPS, SFTP, SMTP, IMAP, POP3) жүзеге асыратын, бірақ жалпы TLS сертификаттарын пайдаланатын TLS серверлеріне қолданылуы мүмкін.
Шабуылдың мәні мынада: егер ол желілік шлюзді немесе сымсыз кіру нүктесін басқарса, шабуылдаушы веб-трафикті басқа желілік портқа бағыттай алады және TLS шифрлауын қолдайтын FTP немесе пошта серверімен байланыс орнатуды ұйымдастыра алады. HTTP серверімен ортақ TLS сертификаты және пайдаланушының шолғышы сұралған HTTP серверімен байланыс орнатылды деп есептейді. TLS протоколы әмбебап және қолданбалы деңгейдегі хаттамаларға байланысты емес болғандықтан, барлық қызметтер үшін шифрланған қосылымды орнату бірдей және қате қызметке сұрау жіберу қатесін өңдеу кезінде шифрланған сеанс орнатқаннан кейін ғана анықтауға болады. жіберілген сұрау командалары.
Сәйкесінше, мысалы, бастапқыда HTTPS серверіне жіберілген пайдаланушы қосылымын HTTPS серверімен ортақ сертификатты пайдаланатын пошта серверіне қайта бағыттасаңыз, TLS қосылымы сәтті орнатылады, бірақ пошта сервері жіберілген деректерді өңдей алмайды. HTTP пәрмендері және қате коды бар жауапты қайтарады. Бұл жауапты браузер дұрыс орнатылған шифрланған байланыс арнасы ішінде жіберілген сұралған сайттан жауап ретінде өңдейді.
Шабуылдың үш нұсқасы ұсынылады:
- Аутентификация параметрлері бар cookie файлын алу үшін «Жүктеп салу». TLS сертификатымен қамтылған FTP сервері оның деректерін жүктеп салуға және алуға мүмкіндік берсе, әдіс қолданылады. Бұл шабуыл нұсқасында шабуылдаушы Cookie тақырыбының мазмұны сияқты пайдаланушының бастапқы HTTP сұрауының бөліктерін сақтауға қол жеткізе алады, мысалы, егер FTP сервері сұрауды сақтау файлы ретінде түсіндірсе немесе кіріс сұрауларын толығымен тіркесе. Сәтті шабуыл жасау үшін шабуылдаушы сақталған мазмұнды қандай да бір жолмен шығарып алуы керек. Шабуыл Proftpd, Microsoft IIS, vsftpd, filezilla және serv-u үшін қолданылады.
- Сайтаралық сценарийлерді (XSS) ұйымдастыруға арналған «Жүктеу». Бұл әдіс кейбір жеке манипуляциялар нәтижесінде шабуылдаушы деректерді жалпы TLS сертификатын пайдаланатын қызметке орналастыра алатынын білдіреді, содан кейін ол пайдаланушы сұрауына жауап ретінде шығарылуы мүмкін. Шабуыл жоғарыда аталған FTP серверлеріне, IMAP серверлеріне және POP3 серверлеріне (курьер, cyrus, kerio-connect және zimbra) қатысты.
- Басқа сайт контекстінде JavaScript іске қосу үшін «Рефлексия». Әдіс шабуылдаушы жіберген JavaScript кодын қамтитын сұраудың клиент бөлігіне қайтаруға негізделген. Шабуыл жоғарыда аталған FTP серверлеріне, cyrus, kerio-connect және zimbra IMAP серверлеріне, сондай-ақ sendmail SMTP серверіне қолданылады.
Мысалы, пайдаланушы шабуылдаушы басқаратын бетті ашқанда, бұл бет пайдаланушының белсенді тіркелгісі бар сайттан (мысалы, bank.com) ресурс сұрауын бастауы мүмкін. MITM шабуылы кезінде bank.com веб-сайтына жіберілген бұл сұрау bank.com сайтымен ортақ TLS сертификатын пайдаланатын электрондық пошта серверіне қайта бағытталуы мүмкін. Пошта сервері бірінші қатеден кейін сеансты тоқтатпағандықтан, қызмет тақырыптары мен "POST / HTTP/1.1" және "Хост:" сияқты пәрмендер белгісіз пәрмендер ретінде өңделеді (пошта сервері "500 танылмаған пәрменді" қайтарады. әрбір тақырып).
Пошта сервері HTTP протоколының мүмкіндіктерін түсінбейді және ол үшін қызмет тақырыптары мен POST сұрауының деректер блогы бірдей өңделеді, сондықтан POST сұрауының мәтінінде пәрмені бар жолды көрсетуге болады. пошта сервері. Мысалы, келесіні жіберуге болады: MAIL FROM: alert(1); пошта сервері 501 қате туралы хабарды қайтарады alert(1); : дұрыс емес мекенжай: alert(1); орындамауы мүмкін
Бұл жауапты пайдаланушының браузері қабылдайды, ол JavaScript кодын шабуылдаушының бастапқыда ашылған веб-сайтында емес, сұрау жіберілген bank.com веб-сайтында орындайтын болады, өйткені жауап дұрыс TLS сеансында келді. , оның сертификаты bank.com жауабының шынайылығын растады.
Жаһандық желіні сканерлеу жалпы алғанда 1.4 миллионға жуық веб-серверге проблема әсер ететінін көрсетті, олар үшін әртүрлі хаттамаларды пайдаланып сұрауларды араластыру арқылы шабуыл жасауға болады. Басқа қолданбалы хаттамалар негізінде ілеспе TLS серверлері бар 119 мың веб-серверлер үшін нақты шабуылдың ықтималдығы анықталды.
ftp серверлері үшін эксплойт мысалдары pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla және serv-u, IMAP және POP3 серверлері dovecot, courier, exchange, cyrus, kerio-connect және zimbra, SMTP серверлері, postfix, exim sendmail үшін дайындалған. , пошталық, mdaemon және opensmtpd. Зерттеушілер шабуылды тек FTP, SMTP, IMAP және POP3 серверлерімен үйлестіру мүмкіндігін зерттеді, бірақ мәселе TLS қолданатын басқа қолданбалы хаттамалар үшін де болуы мүмкін.
Шабуылға тосқауыл қою үшін қолданбалы хаттаманы ескере отырып TLS сеансын келіссөздер үшін ALPN (Application Layer Protocol Negotiation) кеңейтімін және пайдаланылған жағдайда хост атауымен байланыстыру үшін SNI (Сервер атауын көрсету) кеңейтімін пайдалану ұсынылады. Бірнеше домен атауларын қамтитын TLS сертификаттары. Қолданба жағында пәрмендерді өңдеу кезінде қателер санының шегін шектеу ұсынылады, содан кейін қосылым тоқтатылады. Шабуылға тосқауыл қою шараларын әзірлеу процесі өткен жылдың қазан айында басталған. Осыған ұқсас қауіпсіздік шаралары Nginx 1.21.0 (пошта проксиі), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) және Internet Explorer нұсқаларында қабылданған.
Ақпарат көзі: opennet.ru