Германиянын бир нече университеттеринин изилдөөчүлөр тобу сессиянын кукилерин жана башка купуя маалыматтарды чыгарып, ошондой эле башка сайттын контекстинде каалаган JavaScript кодун аткара турган HTTPSге жаңы MITM чабуулун иштеп чыгышты. Чабуул ALPACA деп аталат жана ар кандай колдонмо катмарынын протоколдорун (HTTPS, SFTP, SMTP, IMAP, POP3) ишке ашырган, бирок жалпы TLS сертификаттарын колдонгон TLS серверлерине колдонулушу мүмкүн.
Чабуулдун маңызы, эгерде ал тармактык шлюзду же зымсыз кирүү чекитинин үстүнөн башкарууга ээ болсо, чабуулчу веб-трафикти башка тармак портуна багыттай алат жана TLS шифрлөөсүн колдогон FTP же почта сервери менен байланыш түзүүнү уюштура алат. HTTP сервери менен жалпы TLS тастыктамасы жана колдонуучунун браузери суралган HTTP сервери менен байланыш түзүлдү деп болжолдойт. TLS протоколу универсалдуу болгондуктан жана колдонмо деңгээлиндеги протоколдорго байланбагандыктан, бардык кызматтар үчүн шифрленген туташууну орнотуу бирдей жана туура эмес кызматка суроо-талапты жөнөтүү катасын иштетүүдө шифрленген сеанс орнотулгандан кийин гана аныктоого болот. жөнөтүлгөн сурамдын буйруктары.
Демек, мисалы, сиз HTTPS сервери менен бөлүшүлгөн сертификатты колдонгон почта серверине башында HTTPS даректелген колдонуучу туташуусун кайра багыттасаңыз, TLS байланышы ийгиликтүү орнотулат, бирок почта сервери өткөрүлүп берилген маалыматты иштете албайт. HTTP буйруктары жана ката коду менен жооп кайтарат. Бул жооп браузер тарабынан талап кылынган сайттан жооп катары иштетилет, туура түзүлгөн шифрленген байланыш каналынын ичинде жөнөтүлөт.
Үч чабуул варианты сунушталат:
- Аныктыгын текшерүү параметрлери бар Cookie файлын алуу үчүн "Жүктөө". Бул ыкма TLS сертификаты менен камтылган FTP сервери анын берилиштерин жүктөөгө жана алууга мүмкүндүк берген учурда колдонулат. Бул чабуулдун вариантында чабуулчу колдонуучунун баштапкы HTTP сурамынын бөлүктөрүн, мисалы, Cookie аталышынын мазмунун сактап калууга жетише алат, мисалы, эгерде FTP сервери суроо-талапты сактоо файлы катары чечмелесе же келип түшкөн суроо-талаптарды толугу менен каттаса. Ийгиликтүү чабуул үчүн, чабуулчу кандайдыр бир жол менен сакталган мазмунду чыгарып алышы керек. Кол салуу Proftpd, Microsoft IIS, vsftpd, filezilla жана serv-u үчүн колдонулат.
- Сайт аралык скрипттерди (XSS) уюштуруу үчүн "Жүктөө". Бул ыкма чабуулчу кээ бир жеке манипуляциялардын натыйжасында маалыматтарды жалпы TLS сертификатын колдонгон кызматка жайгаштырышы мүмкүн экенин билдирет, андан кийин колдонуучунун суроо-талабына жооп катары берилиши мүмкүн. Кол салуу жогоруда айтылган FTP серверлерине, IMAP серверлерине жана POP3 серверлерине (courier, cyrus, kerio-connect жана zimbra) тиешелүү.
- Башка сайттын контекстинде JavaScript иштетүү үчүн "Рефлексия". Метод чабуулчу жиберген JavaScript кодун камтыган суроо-талаптын кардар бөлүгүнө кайтууга негизделген. Чабуул жогоруда айтылган FTP серверлерине, cyrus, kerio-connect жана zimbra IMAP серверлерине, ошондой эле sendmail SMTP серверине тиешелүү.
Мисалы, колдонуучу чабуулчу башкарган баракты ачканда, бул барак колдонуучунун активдүү аккаунту бар сайттан ресурска суроо-талапты козгой алат (мисалы, bank.com). MITM чабуулу учурунда bank.com веб-сайтына даректелген бул суроо банк.com менен бөлүшүлгөн TLS сертификатын колдонгон электрондук почта серверине багытталышы мүмкүн. Почта сервери биринчи катадан кийин сеансты токтотпогондуктан, "POST / HTTP/1.1" жана "Хост:" сыяктуу кызматтын аталыштары жана буйруктары белгисиз буйруктар катары иштетилет (почта сервери "500 таанылбаган буйрук" кайтарып берет ар бир баш).
Почта сервери HTTP протоколунун өзгөчөлүктөрүн түшүнбөйт жана ал үчүн кызматтын аталыштары жана POST сурамынын маалымат блогу ушундай эле жол менен иштетилет, ошондуктан POST сурамынын негизги бөлүгүндө сиз буйрук менен сапты көрсөтсөңүз болот. почта сервери. Мисалы, сиз өткөрө аласыз: MAIL FROM: alert(1); почта сервери 501 ката билдирүүсүн кайтарат alert(1); : туура эмес дарек: alert(1); ээрчибеши мүмкүн
Бул жоопту колдонуучунун браузери кабыл алат, ал JavaScript кодун чабуулчунун алгач ачылган веб-сайтынын эмес, суроо-талап жөнөтүлгөн bank.com веб-сайтынын контекстинде аткарат, анткени жооп туура TLS сессиясынын ичинде келген. , анын сертификаты bank.com жооптун аныктыгын тастыктаган.
Глобалдык тармактын скандоосу жалпысынан 1.4 миллионго жакын веб-серверлер көйгөйгө кабылганын көрсөттү, алар үчүн ар кандай протоколдорду колдонуу менен суроо-талаптарды аралаштыруу аркылуу чабуул жасоого болот. Башка тиркеме протоколдорунун негизинде коштолгон TLS серверлери болгон 119 миң веб-серверлер үчүн реалдуу чабуулдун ыктымалдыгы аныкталган.
Эксплуатациялардын мисалдары ftp серверлери үчүн даярдалган pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla жана serv-u, IMAP жана POP3 серверлери dovecot, courier, exchange, cyrus, kerio-connect жана zimbra, SMTP серверлери, postfix, exim sendmail. , почталык, мдаэмон жана opensmtpd. Окумуштуулар чабуулду FTP, SMTP, IMAP жана POP3 серверлери менен айкалышта гана жүргүзүү мүмкүнчүлүгүн изилдеп чыгышты, бирок көйгөй TLS колдонгон башка тиркеме протоколдорунда да болушу мүмкүн.
Кол салууга бөгөт коюу үчүн, ALPN (Application Layer Protocol Negotiation) кеңейтүүсүн колдонуунун протоколун эске алуу менен TLS сессиясын сүйлөшүү үчүн жана колдонууда хосттун аталышы менен байланыштыруу үчүн SNI (Server Name Indication) кеңейтүүсүн колдонуу сунушталат. Бир нече домендик аталыштарды камтыган TLS сертификаттары. Колдонмо тарабында, буйруктарды иштетүүдө каталардын санын чектөө сунушталат, андан кийин байланыш токтотулат. Кол салууга бөгөт коюу чараларын иштеп чыгуу жараяны өткөн жылдын октябрь айында башталган. Окшош коопсуздук чаралары буга чейин Nginx 1.21.0 (почта прокси), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, крипто/tls (Go) жана Internet Explorerде көрүлгөн.
Source: opennet.ru