جرمني جي ڪيترن ئي يونيورسٽين مان محققن جي هڪ ٽيم HTTPS تي هڪ نئون MITM حملو تيار ڪيو آهي جيڪو سيشن ڪوڪيز ۽ ٻيون حساس ڊيٽا ڪڍي سگهي ٿو، انهي سان گڏ ٻئي سائيٽ جي حوالي سان صوابديدي جاوا اسڪرپٽ ڪوڊ تي عمل ڪري سگهي ٿو. حملي کي ALPACA سڏيو ويندو آهي ۽ TLS سرورز تي لاڳو ٿي سگهي ٿو جيڪي مختلف ايپليڪيشن پرت پروٽوڪول (HTTPS، SFTP، SMTP، IMAP، POP3) کي لاڳو ڪن ٿا، پر عام TLS سرٽيفڪيٽ استعمال ڪن ٿا.
حملي جو خلاصو اهو آهي ته جيڪڏهن هڪ حملي آور جو ڪنٽرول نيٽ ورڪ گيٽ وي يا وائرليس رسائي پوائنٽ تي آهي، ته هو ويب ٽرئفڪ کي ٻئي نيٽ ورڪ پورٽ ڏانهن ريڊائريڪٽ ڪري سگهي ٿو ۽ FTP يا ميل سرور سان ڪنيڪشن قائم ڪرڻ کي منظم ڪري ٿو جيڪو TLS انڪرپشن کي سپورٽ ڪري ٿو ۽ استعمال ڪري ٿو. TLS سرٽيفڪيٽ HTTP سرور سان شيئر ڪيو ويو آهي، ۽ صارف جو برائوزر اهو فرض ڪندو ته درخواست ڪيل HTTP سرور سان ڪنيڪشن قائم ڪيو ويو آهي. جيئن ته TLS پروٽوڪول آفاقي آهي ۽ ايپليڪيشن-سطح جي پروٽوڪول سان جڙيل نه آهي، سڀني خدمتن لاء هڪ اينڪريپٽ ڪنيڪشن جو قيام هڪجهڙائي آهي ۽ غلط سروس ڏانهن درخواست موڪلڻ جي غلطي صرف انڪريپٽ ٿيل سيشن جي قيام کان پوء طئي ٿي سگهي ٿي جڏهن موڪليل درخواست جي حڪمن تي عمل ڪندي.
ان مطابق، جيڪڏهن، مثال طور، توهان هڪ صارف ڪنيڪشن کي اصل ۾ HTTPS ڏانهن ايڊريس ڪيو هڪ ميل سرور ڏانهن جيڪو هڪ سرٽيفڪيٽ استعمال ڪري ٿو جيڪو HTTPS سرور سان شيئر ڪيو ويو آهي، TLS ڪنيڪشن ڪاميابيءَ سان قائم ٿي ويندو، پر ميل سرور منتقل ٿيل کي پروسيس ڪرڻ جي قابل نه هوندو. HTTP حڪم ۽ غلطي ڪوڊ سان جواب واپس ڏيندو. اهو جواب برائوزر طرفان درخواست ڪيل سائيٽ جي جواب جي طور تي عمل ڪيو ويندو، صحيح طور تي قائم ڪيل اينڪريپٽ ٿيل ڪميونيڪيشن چينل جي اندر منتقل ڪيو ويندو.
حملي جا ٽي آپشن پيش ڪيا ويا آهن:
- "اپلوڊ ڪريو" ڪوڪي کي ٻيهر حاصل ڪرڻ لاءِ تصديق جي ماپن سان. اهو طريقو لاڳو آهي جيڪڏهن FTP سرور TLS سرٽيفڪيٽ سان ڍڪيل آهي توهان کي ان جي ڊيٽا کي اپلوڊ ڪرڻ ۽ ٻيهر حاصل ڪرڻ جي اجازت ڏئي ٿي. هن حملي واري قسم ۾، حملو ڪندڙ صارف جي اصل HTTP درخواست جي حصن کي برقرار رکڻ حاصل ڪري سگهي ٿو، جهڙوڪ ڪوڪي هيڊر جو مواد، مثال طور، جيڪڏهن FTP سرور درخواست کي محفوظ فائل جي طور تي تشريح ڪري ٿو يا ايندڙ درخواستن کي مڪمل طور تي لاگ ان ڪري ٿو. ڪاميابيءَ سان حملو ڪرڻ لاءِ، حملي آور کي وري ڪنهن نه ڪنهن طريقي سان ذخيرو ٿيل مواد ڪڍڻ جي ضرورت آهي. حملو Proftpd، Microsoft IIS، vsftpd، filezilla ۽ serv-u تي لاڳو ٿئي ٿو.
- ڪراس سائيٽ اسڪرپٽنگ (XSS) کي منظم ڪرڻ لاءِ ”ڊائون لوڊ“ ڪريو. اهو طريقو اهو آهي ته حملو ڪندڙ، ڪجهه انفرادي ڌاڙيلن جي نتيجي ۾، ڊيٽا کي هڪ خدمت ۾ رکي سگهي ٿو جيڪو هڪ عام TLS سرٽيفڪيٽ استعمال ڪري ٿو، جيڪو پوء صارف جي درخواست جي جواب ۾ جاري ڪري سگهجي ٿو. حملو مٿي ڏنل FTP سرورز، IMAP سرورز ۽ POP3 سرورز (ڪوريئر، سائرس، ڪيريو ڪنيڪٽ ۽ زمبرا) تي لاڳو ٿئي ٿو.
- ٻئي سائيٽ جي حوالي سان جاوا اسڪرپٽ کي هلائڻ لاء "عڪس". طريقو درخواست جي ڪلائنٽ حصي ڏانهن موٽڻ تي ٻڌل آهي، جنهن ۾ حملي ڪندڙ طرفان موڪليو ويو جاوا اسڪرپٽ ڪوڊ شامل آهي. حملو مٿي ڄاڻايل ايف ٽي پي سرورز، سائرس، ڪيريو ڪنيڪٽ ۽ زمبرا IMAP سرورز، گڏو گڏ sendmail SMTP سرور تي لاڳو ٿئي ٿو.
مثال طور، جڏهن ڪو صارف هڪ صفحو کوليندو آهي جيڪو حملو ڪندڙ طرفان ڪنٽرول ڪيو ويندو آهي، اهو صفحو ڪنهن سائيٽ کان وسيلن جي درخواست شروع ڪري سگهي ٿو جتي صارف جو هڪ فعال اڪائونٽ آهي (مثال طور، bank.com). هڪ MITM حملي دوران، هن درخواست کي پتو ڏنو ويو bank.com ويب سائيٽ هڪ اي ميل سرور ڏانهن منتقل ڪري سگهجي ٿو جيڪو هڪ TLS سرٽيفڪيٽ استعمال ڪري ٿو جيڪو bank.com سان شيئر ڪيو ويو آهي. جيئن ته ميل سرور پهرين غلطي کان پوءِ سيشن کي ختم نٿو ڪري، سروس هيڊر ۽ ڪمانڊ جهڙوڪ "POST/HTTP/1.1" ۽ "Host:" اڻڄاتل حڪمن جي طور تي عمل ڪيو ويندو (ميل سرور واپس ڪندو "500 اڻ ڄاتل حڪم" لاء. هر سر).
ميل سرور HTTP پروٽوڪول جي خاصيتن کي نه ٿو سمجهي ۽ ان لاءِ سروس هيڊرز ۽ پوسٽ جي درخواست جي ڊيٽا بلاڪ کي ساڳئي طريقي سان پروسيس ڪيو ويندو آهي، تنهنڪري پوسٽ جي درخواست جي جسم ۾ توهان حڪم سان هڪ لائن بيان ڪري سگهو ٿا. ميل سرور. مثال طور، توھان پاس ڪري سگھو ٿا: MAIL FROM: alert(1); جنهن تي ميل سرور 501 ايرر پيغام واپس ڪندو alert(1); : خراب ٿيل پتو: خبرداري(1)؛ پيروي نه ٿي سگھي
اهو جواب صارف جي برائوزر طرفان وصول ڪيو ويندو، جيڪو جاوا اسڪرپٽ ڪوڊ تي عمل ڪندو حملي ڪندڙ جي شروعاتي طور تي کليل ويب سائيٽ جي حوالي سان نه، پر bank.com ويب سائيٽ جي جنهن تي درخواست موڪلي وئي هئي، ڇاڪاڻ ته جواب صحيح TLS سيشن ۾ آيو. , جنهن جي سرٽيفڪيٽ bank.com جي جواب جي صداقت جي تصديق ڪئي.
گلوبل نيٽ ورڪ جي اسڪين مان معلوم ٿيو ته عام طور تي اٽڪل 1.4 ملين ويب سرورز ان مسئلي کان متاثر آهن، جنهن لاءِ مختلف پروٽوڪول استعمال ڪندي درخواستن کي گڏ ڪري حملو ڪرڻ ممڪن آهي. حقيقي حملي جو امڪان 119 هزار ويب سرورز لاءِ طئي ڪيو ويو جنهن لاءِ موجود هئا TLS سرورز ٻين ايپليڪيشن پروٽوڪول جي بنياد تي.
ftp سرورز لاءِ استحصال جا مثال تيار ڪيا ويا آهن pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla and serv-u, IMAP ۽ POP3 سرور dovecot, courier, exchange, cyrus, kerio-connect and zimbra, SMTP سرور postfix, exim, send , mailenable , mdaemon ۽ opensmtpd. محققن صرف FTP، SMTP، IMAP ۽ POP3 سرورز سان گڏ حملي جي امڪان جو مطالعو ڪيو آهي، پر اهو ممڪن آهي ته مسئلو ٻين ايپليڪيشن پروٽوڪولن لاءِ به ٿي سگهي ٿو جيڪي TLS استعمال ڪن ٿا.
حملي کي روڪڻ لاءِ، تجويز ڪيل آهي ته ALPN (ايپليڪيشن ليئر پروٽوڪول نيگوشيئشن) ايڪسٽينشن کي استعمال ڪرڻ لاءِ ٽي ايل ايس سيشن جي ڳالهه ٻولهه ڪرڻ لاءِ ايپليڪيشن پروٽوڪول ۽ SNI (سرور نيم انڊيڪيشن) ايڪسٽينشن کي استعمال ڪرڻ جي صورت ۾ ميزبان جي نالي سان پابند ڪرڻ لاءِ. TLS سرٽيفڪيٽ ڪيترن ئي ڊومين نالن کي ڍڪيندا آهن. ايپليڪيشن جي پاسي تي، اها سفارش ڪئي وئي آهي ته غلطي جي تعداد تي حد کي حد تائين محدود ڪيو وڃي جڏهن پروسيسنگ حڪمن کي، جنهن کان پوء ڪنيڪشن ختم ٿي وڃي. حملي کي روڪڻ لاءِ قدم کڻڻ جو عمل گذريل سال آڪٽوبر ۾ شروع ٿيو. ساڳئي حفاظتي اپاءَ اڳ ۾ ئي ورتو ويو آهي Nginx 1.21.0 (mail proxy)، Vsftpd 3.0.4، Courier 5.1.0، Sendmail، FileZill، crypto/tls (Go) ۽ Internet Explorer.
جو ذريعو: opennet.ru