Ny ekipan'ny mpikaroka avy amin'ny anjerimanontolo maromaro any Alemaina dia namolavola fanafihana MITM vaovao momba ny HTTPS izay afaka mamoaka cookies session sy angona saro-pady hafa, ary manatanteraka code JavaScript tsy misy dikany amin'ny tontolon'ny tranokala hafa. Antsoina hoe ALPACA ny fanafihana ary azo ampiharina amin'ny mpizara TLS izay mampihatra protocols sosona fampiharana samihafa (HTTPS, SFTP, SMTP, IMAP, POP3), saingy mampiasa mari-pankasitrahana TLS mahazatra.
Ny fototry ny fanafihana dia ny hoe raha misy mpanafika manara-maso ny vavahadin-tserasera na teboka fidirana an-tariby, dia afaka mamindra ny fifamoivoizana amin'ny Internet amin'ny seranan-tsambo hafa izy ary mandamina ny fananganana fifandraisana amin'ny FTP na mpizara mailaka izay manohana ny TLS encryption ary mampiasa a Certificat TLS nozaraina tamin'ny mpizara HTTP , ary ny mpitety tranonkalan'ny mpampiasa dia hihevitra fa nisy fifandraisana niorina tamin'ny mpizara HTTP nangatahana. Koa satria ny protocol TLS dia manerana izao rehetra izao ary tsy mifamatotra amin'ny protocols amin'ny ambaratonga fampiharana, ny fametrahana fifandraisana voatahiry ho an'ny serivisy rehetra dia mitovy ary ny fahadisoana amin'ny fandefasana fangatahana amin'ny serivisy diso dia tsy azo fantarina raha tsy aorian'ny fametrahana fivoriana voatahiry. fanodinana ny baikon'ny fangatahana nalefa.
Arak'izany, raha toa ianao, ohatra, mamindra ny fifandraisana amin'ny mpampiasa izay niantefa tany am-boalohany mankany amin'ny HTTPS mankany amin'ny mpizara mailaka izay mampiasa taratasy fanamarinana nozaraina tamin'ny mpizara HTTPS, dia ho tafapetraka tsara ny fifandraisana TLS, fa ny mpizara mailaka dia tsy afaka manodina ny fampitana. baiko HTTP ary hamerina valiny misy kaody diso. Ity valinteny ity dia hokarakarain'ny mpitety tranonkala ho valin'ny tranonkala nangatahana, ampitaina ao anatin'ny fantsona fifandraisana voafefy tsara.
Safidy fanafihana telo no atolotra:
- "Mampiakatra" haka Cookie misy mari-pamantarana fanamarinana. Ny fomba dia azo ampiharina raha ny mpizara FTP voarakotry ny taratasy fanamarinana TLS dia ahafahanao mampakatra sy maka ny angonany. Amin'ity karazana fanafihana ity, ny mpanafika dia afaka mitazona ampahany amin'ny fangatahan'ny HTTP tany am-boalohany, toy ny ao anatin'ny lohatenin'ny Cookie, ohatra, raha toa ny mpizara FTP no mandika ny fangatahana ho toy ny rakitra mitahiry na mirakitra an-tsoratra manontolo ny fangatahana miditra. Mba hahombiazan'ny fanafihana dia mila manala ny atiny voatahiry ilay mpanafika. Ny fanafihana dia azo ampiharina amin'ny Proftpd, Microsoft IIS, vsftpd, filezilla ary serv-u.
- "Download" ho an'ny fandaminana ny scripting cross-site (XSS). Ny fomba dia midika fa ny mpanafika, vokatry ny fanodinkodinam-bolan'ny tsirairay, dia afaka mametraka angon-drakitra amin'ny serivisy izay mampiasa taratasy fanamarinana TLS mahazatra, izay azo avoaka ho valin'ny fangatahan'ny mpampiasa. Ny fanafihana dia azo ampiharina amin'ireo mpizara FTP voalaza etsy ambony, mpizara IMAP ary mpizara POP3 (courier, cyrus, kerio-connect ary zimbra).
- "Reflection" hampandeha JavaScript amin'ny tontolon'ny tranokala hafa. Ny fomba dia mifototra amin'ny fiverenana amin'ny ampahany amin'ny mpanjifa amin'ny fangatahana, izay misy ny code JavaScript nalefan'ny mpanafika. Ny fanafihana dia azo ampiharina amin'ireo mpizara FTP voalaza etsy ambony, ny cyrus, ny kerio-connect ary ny zimbra IMAP servers, ary koa ny sendmail SMTP server.
Ohatra, rehefa manokatra pejy fehezin'ny mpanafika ny mpampiasa iray, ity pejy ity dia afaka manomboka fangatahana loharanon-karena avy amin'ny tranonkala iray izay manana kaonty mavitrika (ohatra, bank.com). Mandritra ny fanafihana MITM, ity fangatahana alefa any amin'ny tranokalan'ny bank.com ity dia azo averina mankany amin'ny mpizara mailaka mampiasa taratasy fanamarinana TLS izay zaraina amin'ny bank.com. Satria ny mpizara mailaka dia tsy mamarana ny fivoriana aorian'ny fahadisoana voalohany, ny lohatenin'ny serivisy sy ny baiko toy ny "POST / HTTP / 1.1" sy ny "Host:" dia hokarakaraina ho baiko tsy fantatra (ny mpizara mailaka dia hamerina "baiko tsy fantatra 500" ho an'ny lohapejy tsirairay).
Ny mpizara mailaka dia tsy mahatakatra ny endrik'ilay protocol HTTP ary noho izany ny lohatenin'ny serivisy sy ny sakana angon-drakitra momba ny fangatahana POST dia karakaraina amin'ny fomba mitovy, ka ao amin'ny vatan'ny fangatahana POST dia azonao atao ny mamaritra tsipika misy baiko mankany ny mpizara mailaka. Ohatra, azonao atao ny mandalo: MAIL FROM: alert(1); izay hamerenan'ny mpizara mailaka hafatra diso 501 alert(1); : adiresy diso endrika: fanairana(1); mety tsy manaraka
Ity valinteny ity dia horaisin'ny navigateur mpampiasa, izay hanatanteraka ny code JavaScript amin'ny toe-javatra tsy amin'ny tranokalan'ny mpanafika nisokatra voalohany, fa amin'ny tranokala bank.com izay nandefasana ny fangatahana, satria tonga tao anatin'ny fivoriana TLS marina ny valiny , ny taratasy fanamarinana izay nanamafy ny maha-azo itokiana ny valin'ny bank.com.
Ny fizahana ny tambajotra manerantany dia naneho fa amin'ny ankapobeny, manodidina ny 1.4 tapitrisa ny mpizara tranonkala no voakasik'ilay olana, izay ahafahana manao fanafihana amin'ny alΓ lan'ny fampifangaroana fangatahana mampiasa protocols samihafa. Ny mety hisian'ny fanafihana tena izy dia voafaritra ho an'ny mpizara tranonkala 119 arivo izay misy mpizara TLS miaraka amin'ny protocols fampiharana hafa.
Ohatra amin'ny fanararaotana nomanina ho an'ny mpizara ftp pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla ary serv-u, mpizara IMAP sy POP3 dovecot, courier, exchange, cyrus, kerio-connect ary zimbra, server SMTP postfix, exim, sendmail , mailenable, mdaemon ary opensmtpd. Ny mpikaroka dia nandinika ny mety hisian'ny fanafihana afa-tsy miaraka amin'ny mpizara FTP, SMTP, IMAP ary POP3, saingy mety hitranga ihany koa ny olana amin'ny protocols fampiharana hafa izay mampiasa TLS.
Mba hanakanana ny fanafihana dia soso-kevitra ny hampiasa ny fanitarana ALPN (Application Layer Protocol Negotiation) hifampiraharaha amin'ny fivoriana TLS amin'ny fiheverana ny protocole fampiharana sy ny fanitarana SNI (Server Name Indication) hamatotra ny anaran'ny mpampiantrano raha toa ka mampiasa Certificat TLS mandrakotra anarana sehatra maromaro. Amin'ny lafiny fampiharana, soso-kevitra ny hametra ny fetra amin'ny isan'ny lesoka rehefa manamboatra baiko, aorian'izay dia tapaka ny fifandraisana. Nanomboka tamin'ny volana oktobra tamin'ny taon-dasa ny dingan'ny famolavolana fepetra hanakanana ny fanafihana. Ny fepetra fiarovana mitovy amin'izany dia efa noraisina tao amin'ny Nginx 1.21.0 (mailaka proxy), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) ary Internet Explorer.
Source: opennet.ru