Тим истраживача са неколико универзитета у Немачкој развио је нови МИТМ напад на ХТТПС који може да издвоји колачиће сесије и друге осетљиве податке, као и да изврши произвољан ЈаваСцрипт код у контексту друге веб локације. Напад се назива АЛПАЦА и може се применити на ТЛС сервере који имплементирају различите протоколе слоја апликације (ХТТПС, СФТП, СМТП, ИМАП, ПОП3), али користе уобичајене ТЛС сертификате.
Суштина напада је да ако има контролу над мрежним гејтвејем или бежичном приступном тачком, нападач може да преусмери веб саобраћај на други мрежни порт и да организује успостављање везе са ФТП или маил сервером који подржава ТЛС енкрипцију и користи ТЛС сертификат заједнички са ХТТП сервером, а претраживач корисника ће претпоставити да је успостављена веза са траженим ХТТП сервером. Пошто је ТЛС протокол универзалан и није везан за протоколе на нивоу апликације, успостављање шифроване везе за све услуге је идентично и грешка слања захтева погрешном сервису може се утврдити тек након успостављања шифроване сесије током обраде команде послатог захтева.
Сходно томе, ако, на пример, преусмерите корисничку везу првобитно адресирану на ХТТПС на сервер поште који користи сертификат који се дели са ХТТПС сервером, ТЛС веза ће бити успешно успостављена, али сервер е-поште неће моћи да обради пренете ХТТП команде и вратиће одговор са кодом грешке. Овај одговор ће прегледач обрадити као одговор са траженог сајта, пренет у оквиру исправно успостављеног шифрованог комуникационог канала.
Предлажу се три опције напада:
- „Пошаљи“ да бисте преузели колачић са параметрима аутентификације. Метода је применљива ако вам ФТП сервер покривен ТЛС сертификатом дозвољава да отпремите и преузмете његове податке. У овој варијанти напада, нападач може постићи задржавање делова оригиналног ХТТП захтева корисника, као што је садржај заглавља колачића, на пример, ако ФТП сервер тумачи захтев као датотеку за чување или у потпуности евидентира долазне захтеве. Да би успешно напао, нападач тада мора некако да издвоји сачувани садржај. Напад је применљив на Профтпд, Мицрософт ИИС, всфтпд, филезилла и серв-у.
- „Преузми“ за организовање скриптовања на више локација (КССС). Метод подразумева да нападач, као резултат неких појединачних манипулација, може да стави податке у сервис који користи заједнички ТЛС сертификат, који се потом може издати као одговор на захтев корисника. Напад је применљив на горепоменуте ФТП сервере, ИМАП сервере и ПОП3 сервере (курир, цирус, керио-цоннецт и зимбра).
- „Рефлецтион“ за покретање ЈаваСцрипт-а у контексту другог сајта. Метод се заснива на враћању клијентском делу захтева, који садржи ЈаваСцрипт код који је послао нападач. Напад је применљив на горе поменуте ФТП сервере, цирус, керио-цоннецт и зимбра ИМАП сервере, као и на сендмаил СМТП сервер.
На пример, када корисник отвори страницу коју контролише нападач, ова страница може да покрене захтев за ресурс са сајта на коме корисник има активан налог (на пример, банк.цом). Током МИТМ напада, овај захтев упућен веб локацији банк.цом може бити преусмерен на сервер е-поште који користи ТЛС сертификат који се дели са банк.цом. Пошто сервер поште не прекида сесију након прве грешке, заглавља сервиса и команде као што су „ПОСТ / ХТТП/1.1“ и „Хост:“ биће обрађене као непознате команде (сервер поште ће вратити „500 непрепознате команде“ за свако заглавље).
Сервер поште не разуме карактеристике ХТТП протокола и за њега се заглавља услуге и блок података ПОСТ захтева обрађују на исти начин, тако да у телу ПОСТ захтева можете да наведете ред са командом за сервер поште. На пример, можете проследити: ПОШТУ ОД: alert(1); коме ће сервер поште вратити поруку о грешци 501 alert(1); : погрешно обликована адреса: алерт(1); можда неће следити
Овај одговор ће примити претраживач корисника, који ће извршити ЈаваСцрипт код у контексту не првобитно отворене веб локације нападача, већ веб локације банк.цом на коју је захтев послат, пошто је одговор стигао у оквиру исправне ТЛС сесије , чији сертификат је потврдио аутентичност одговора банке.цом.
Скенирање глобалне мреже показало је да је генерално око 1.4 милиона веб сервера захваћено проблемом, за које је могуће извршити напад мешањем захтева користећи различите протоколе. Утврђена је могућност правог напада за 119 хиљада веб сервера за које су постојали пратећи ТЛС сервери засновани на другим апликативним протоколима.
Примери експлоатација су припремљени за фтп сервере пурефтпд, профтпд, мицрософт-фтп, всфтпд, филезилла и серв-у, ИМАП и ПОП3 сервере довецот, цоуриер, екцханге, цирус, керио-цоннецт и зимбра, СМТП сервере постфик, еким, сендмаил , маиленабле, мдаемон и опенсмтпд. Истраживачи су проучавали могућност извођења напада само у комбинацији са ФТП, СМТП, ИМАП и ПОП3 серверима, али је могуће да се проблем може јавити и за друге апликационе протоколе који користе ТЛС.
Да би се напад блокирао, предлаже се коришћење екстензије АЛПН (Апплицатион Лаиер Протоцол Неготиатион) за преговарање о ТЛС сесији узимајући у обзир протокол апликације и СНИ (Сервер Наме Индицатион) екстензију за повезивање са именом хоста у случају коришћења ТЛС сертификати који покривају неколико имена домена. На страни апликације препоручује се ограничење броја грешака приликом обраде команди, након чега се веза прекида. Процес израде мера за блокирање напада почео је у октобру прошле године. Сличне мере безбедности су већ предузете у Нгинк 1.21.0 (прокси поште), Всфтпд 3.0.4, Цоуриер 5.1.0, Сендмаил, ФилеЗилл, црипто/тлс (Го) и Интернет Екплорер.
Извор: опеннет.ру