Kelių Vokietijos universitetų mokslininkų komanda sukūrė naują MITM ataką prieš HTTPS, kuri gali išgauti seanso slapukus ir kitus slaptus duomenis, taip pat vykdyti savavališką JavaScript kodą kitos svetainės kontekste. Ataka vadinama ALPACA ir gali būti taikoma TLS serveriams, kurie diegia skirtingus taikomųjų sluoksnių protokolus (HTTPS, SFTP, SMTP, IMAP, POP3), tačiau naudoja įprastus TLS sertifikatus.
Atakos esmė ta, kad jei jis valdo tinklo šliuzą arba belaidžio ryšio prieigos tašką, užpuolikas gali nukreipti žiniatinklio srautą į kitą tinklo prievadą ir organizuoti ryšio su FTP arba pašto serveriu, kuris palaiko TLS šifravimą ir naudoja TLS sertifikatas, bendras su HTTP serveriu , o vartotojo naršyklė darys prielaidą, kad užmegztas ryšys su prašomu HTTP serveriu. Kadangi TLS protokolas yra universalus ir nesusietas su taikomosios programos lygio protokolais, šifruoto ryšio užmezgimas visoms paslaugoms yra identiškas, o užklausos siuntimo klaidingai tarnybai klaida gali būti nustatyta tik sukūrus šifruotą seansą apdorojant išsiųstos užklausos komandas.
Atitinkamai, jei, pavyzdžiui, nukreipiate vartotojo ryšį, kuris iš pradžių buvo adresuotas HTTPS, į pašto serverį, kuris naudoja sertifikatą, bendrinamą su HTTPS serveriu, TLS ryšys bus sėkmingai užmegztas, bet pašto serveris negalės apdoroti perduoto HTTP komandas ir pateiks atsakymą su klaidos kodu. Šį atsakymą naršyklė apdoros kaip atsakymą iš pageidaujamos svetainės, perduodamą teisingai nustatytu užšifruotu ryšio kanalu.
Siūlomi trys atakos variantai:
- „Įkelti“, kad gautumėte slapuką su autentifikavimo parametrais. Metodas taikomas, jei FTP serveris, kuriam taikomas TLS sertifikatas, leidžia įkelti ir nuskaityti jo duomenis. Šiame atakos variante užpuolikas gali išsaugoti naudotojo pradinės HTTP užklausos dalis, pvz., slapuko antraštės turinį, pavyzdžiui, jei FTP serveris užklausą interpretuoja kaip išsaugojimo failą arba visiškai registruoja gaunamas užklausas. Norėdami sėkmingai atakuoti, užpuolikas turi kažkaip išgauti saugomą turinį. Ataka taikoma Proftpd, Microsoft IIS, vsftpd, filezilla ir serv-u.
- „Atsisiųsti“, kad galėtumėte organizuoti scenarijus tarp svetainių (XSS). Metodas reiškia, kad užpuolikas dėl tam tikrų individualių manipuliacijų gali įdėti duomenis į paslaugą, kuri naudoja bendrą TLS sertifikatą, kuris vėliau gali būti išduotas atsakant į vartotojo užklausą. Ataka taikoma aukščiau minėtiems FTP serveriams, IMAP serveriams ir POP3 serveriams (kurjeriui, cyrus, kerio-connect ir zimbra).
- „Atspindys“, jei norite paleisti „JavaScript“ kitos svetainės kontekste. Metodas pagrįstas užklausos dalies, kurioje yra užpuoliko atsiųstas JavaScript kodas, grąžinimu klientui. Ataka taikoma aukščiau minėtiems FTP serveriams, cyrus, kerio-connect ir zimbra IMAP serveriams, taip pat sendmail SMTP serveriui.
Pavyzdžiui, kai vartotojas atidaro puslapį, kurį valdo užpuolikas, šis puslapis gali inicijuoti užklausą dėl išteklių iš svetainės, kurioje vartotojas turi aktyvią paskyrą (pvz., bank.com). MITM atakos metu ši bank.com svetainei skirta užklausa gali būti nukreipta į el. pašto serverį, kuris naudoja TLS sertifikatą, kuris yra bendrinamas su bank.com. Kadangi pašto serveris nenutraukia seanso po pirmosios klaidos, paslaugų antraštės ir komandos, pvz., „POST / HTTP/1.1“ ir „Host:“ bus apdorojamos kaip nežinomos komandos (pašto serveris grąžins „500 neatpažintą komandą“). kiekviena antraštė).
Pašto serveris nesupranta HTTP protokolo ypatybių ir jam paslaugų antraštės bei POST užklausos duomenų blokas apdorojami vienodai, todėl POST užklausos turinyje galite nurodyti eilutę su komanda pašto serveris. Pavyzdžiui, galite perduoti: PAŠTAS IŠ: alert(1); pašto serveris grąžins 501 klaidos pranešimą alert(1); : netinkamai suformuotas adresas: alert(1); gali nesekti
Šį atsakymą gaus vartotojo naršyklė, kuri vykdys JavaScript kodą ne užpuoliko iš pradžių atidarytos svetainės kontekste, o bank.com svetainės, kuriai buvo išsiųsta užklausa, kontekste, nes atsakymas buvo gautas per teisingą TLS seansą. , kurio sertifikatas patvirtino bank.com atsakymo tikrumą.
Pasaulinio tinklo nuskaitymas parodė, kad apskritai problema yra paveikta apie 1.4 milijono žiniatinklio serverių, dėl kurių galima įvykdyti ataką maišant užklausas naudojant skirtingus protokolus. Tikros atakos galimybė buvo nustatyta 119 tūkstančių žiniatinklio serverių, kuriems buvo pridedami TLS serveriai, pagrįsti kitais taikomųjų programų protokolais.
Parengti išnaudojimų pavyzdžiai ftp serveriams pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla ir serv-u, IMAP ir POP3 serveriams dovecot, courier, Exchange, cyrus, kerio-connect ir zimbra, SMTP serveriams postfix, exim, sendmail , siunčiamas paštu, mdaemon ir opensmtpd. Tyrėjai ištyrė galimybę įvykdyti ataką tik kartu su FTP, SMTP, IMAP ir POP3 serveriais, tačiau gali būti, kad problema gali kilti ir kitiems taikomųjų programų protokolams, kurie naudoja TLS.
Norint užblokuoti ataką, siūloma naudoti ALPN (Application Layer Protocol Negotiation) plėtinį derėtis dėl TLS seanso, atsižvelgiant į programos protokolą, ir SNI (serverio pavadinimo indikacijos) plėtinį, kad būtų galima susieti su pagrindinio kompiuterio pavadinimu, jei naudojamas TLS sertifikatai, apimantys kelis domenų vardus. Programos pusėje rekomenduojama apriboti klaidų skaičių apdorojant komandas, po kurių ryšys nutraukiamas. Priemonių atakai blokuoti kūrimo procesas prasidėjo praėjusių metų spalį. Panašių saugumo priemonių jau buvo imtasi Nginx 1.21.0 (pašto tarpinis serveris), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) ir Internet Explorer.
Šaltinis: opennet.ru