Sehlopha sa bafuputsi ba tsoang liunivesithing tse 'maloa tsa Jeremane se thehile tlhaselo e ncha ea MITM ho HTTPS e ka ntšang li-cookies tsa seboka le lintlha tse ling tsa bohlokoa, hammoho le ho sebelisa khoutu ea JavaScript e sa lumellaneng le sebaka sa sebaka se seng. Tlhaselo ena e bitsoa ALPACA 'me e ka sebelisoa ho li-server tsa TLS tse kenyang liprothokholo tse fapaneng tsa lisebelisoa (HTTPS, SFTP, SMTP, IMAP, POP3), empa li sebelisa litifikeiti tse tloaelehileng tsa TLS.
Motso oa tlhaselo ke hore haeba a e-na le taolo holim'a heke ea marang-rang kapa sebaka sa ho kena ka waelese, mohlaseli a ka fetisetsa sephethephethe sa marang-rang ho ea sebakeng se seng sa marang-rang 'me a hlophisa ho thehoa ha khokahano le FTP kapa seva sa poso se tšehetsang TLS encryption le ho sebelisa Setifikeiti sa TLS se tloaelehileng ho seva sa HTTP , 'me sebatli sa mosebelisi se tla nka hore khokahano e se e thehiloe ka seva ea HTTP e batloang. Kaha protocol ea TLS ke ea bokahohleng 'me ha e hokahane le liprothokholo tsa boemo ba ts'ebeliso, ho theha khokahano e patiloeng bakeng sa lits'ebeletso tsohle ho ts'oana mme phoso ea ho romella kopo ho ts'ebeletso e fosahetseng e ka khethoa feela kamora ho theha sephutheloana se patiloeng ha o ntse o sebetsa. ditaelo tsa kopo e rometsoeng.
Ka lebaka leo, haeba, ka mohlala, u fetisetsa khokahanyo ea mosebedisi qalong e lebisitsoe ho HTTPS ho seva sa poso se sebelisang setifikeiti se arolelanoang le seva sa HTTPS, khokahanyo ea TLS e tla thehoa ka katleho, empa seva sa poso se ke ke sa khona ho sebetsana le se fetisitsoeng. E laela HTTP mme e tla khutlisa karabo ka khoutu ea phoso. Karabo ena e tla sebetsoa ke sebatli e le karabo ho tsoa sebakeng se kopiloeng, se fetisetsoa ka har'a mocha oa puisano o hlophisitsoeng hantle.
Ho na le likhetho tse tharo tsa tlhaselo:
- "Kenya" ho khutlisa Cookie e nang le liparamente tsa netefatso. Mokhoa ona oa sebetsa haeba seva sa FTP se koahetsoeng ke setifikeiti sa TLS se u lumella ho kenya le ho fumana lintlha tsa eona. Phapang ena ea tlhaselo, mohlaseli a ka fihlela ho bolokoa ha likarolo tsa kopo ea mantlha ea HTTP ea mosebelisi, joalo ka litaba tsa sehlooho sa Cookie, mohlala, haeba seva sa FTP se toloka kopo e le faele ea ho boloka kapa ho kenya likopo tse kenang ka botlalo. Ho hlasela ka katleho, mohlaseli joale o hloka ho ntša litaba tse bolokiloeng ka tsela e itseng. Tlhaselo e sebetsa ho Proftpd, Microsoft IIS, vsftpd, filezilla le serv-u.
- "Khoasolla" bakeng sa ho hlophisa mongolo oa libaka tse fapaneng (XSS). Mokhoa ona o fana ka maikutlo a hore mohlaseli, ka lebaka la bolotsana bo itseng, a ka beha data ts'ebeletso e sebelisang setifikeiti se tloaelehileng sa TLS, se ka fanoang ka lebaka la kopo ea mosebelisi. Tlhaselo e sebetsa ho li-server tsa FTP tse boletsoeng ka holimo, li-server tsa IMAP le li-server tsa POP3 (courier, cyrus, kerio-connect le zimbra).
- "Reflection" ho tsamaisa JavaScript maemong a sebaka se seng. Mokhoa o ipapisitse le ho khutlela ho moreki karolo ea kopo, e nang le khoutu ea JavaScript e rometsoeng ke mohlaseli. Tlhaselo e sebetsa ho li-server tsa FTP tse boletsoeng ka holimo, li-server tsa cyrus, kerio-connect le zimbra IMAP, hammoho le seva sa SMTP sa sendmail.
Mohlala, ha mosebelisi a bula leqephe le laoloang ke mohlaseli, leqephe lena le ka qala kopo ea sesebelisoa ho tsoa sebakeng seo mosebelisi a nang le ak'haonte e sebetsang (mohlala, bank.com). Nakong ea tlhaselo ea MITM, kopo ena e lebisitsoeng ho websaeteng ea bank.com e ka fetisetsoa ho seva sa imeile se sebelisang setifikeiti sa TLS se arolelanoang le bank.com. Kaha seva sa poso ha se felise seboka ka mor'a phoso ea pele, lihlooho tsa tšebeletso le litaelo tse kang "POST / HTTP/1.1" le "Host:" li tla sebetsoa e le litaelo tse sa tsejoeng (seva sa poso se tla khutlisa "taelo e sa tsejoeng ea 500" bakeng sa hlooho ka nngwe).
Seva ea poso ha e utloisise likarolo tsa protocol ea HTTP mme bakeng sa eona lihlooho tsa lits'ebeletso le block block ea data ea kopo ea POST li sebetsoa ka mokhoa o ts'oanang, kahoo 'meleng oa kopo ea POST o ka hlakisa mohala o nang le taelo ho seva sa poso. Ka mohlala, o ka fetisa: MAIL FROM: alert(1); moo seva sa poso se tla khutlisetsa molaetsa oa phoso 501 alert(1); : aterese e fosahetseng: tlhokomeliso(1); e kanna ea se latele
Karabo ena e tla amoheloa ke sebatli sa mosebelisi, se tla sebelisa khoutu ea JavaScript maemong a seng a sebaka sa marang-rang sa mohlaseli se bulehileng qalong, empa ke webosaete ea bank.com eo kopo e rometsoeng ho eona, kaha karabo e fihlile ka har'a seboka se nepahetseng sa TLS. , setifikeiti sa sona se tiisitseng bonnete ba karabo ea bank.com.
Ho hlahlojoa ha marang-rang a lefats'e ho bontšitse hore ka kakaretso, li-server tse ka bang limilione tse 1.4 li angoa ke bothata, boo ho ka khonehang ho etsa tlhaselo ka ho kopanya likopo ho sebelisa li-protocol tse fapaneng. Monyetla oa tlhaselo ea 'nete o ile oa khethoa bakeng sa li-server tse likete tse 119 tsa marang-rang tseo ho tsona ho neng ho e-na le li-server tsa TLS tse tsamaeang le li-protocol tse ling tsa kopo.
Mehlala ea litlatsetso e lokiselitsoe li-server tsa ftp pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla le serv-u, IMAP le POP3 li-server dovecot, courier, exchange, cyrus, kerio-connect le zimbra, li-server tsa SMTP postfix, exim, sendmail. , poso, mdaemon le opensmtpd. Bafuputsi ba ithutile ka monyetla oa ho etsa tlhaselo feela hammoho le li-server tsa FTP, SMTP, IMAP le POP3, empa ho ka etsahala hore bothata bo ka hlaha le bakeng sa liprothokholo tse ling tsa ts'ebeliso tse sebelisang TLS.
Ho thibela tlhaselo, ho reretsoe ho sebelisa katoloso ea ALPN (Application Layer Protocol Negotiation) ho buisana le kopano ea TLS ho nahanoa ka protocol ea kopo le katoloso ea SNI (Server Name Indication) ho tlama lebitso la moamoheli ha ho sebelisoa. Setifikeiti sa TLS se koahelang mabitso a 'maloa a domain. Ka lehlakoreng la kopo, ho kgothaletswa ho fokotsa moeli ho palo ea liphoso ha o sebetsana le litaelo, ka mor'a moo kgokahanyo e felisoa. Ts'ebetso ea ho theha mehato ea ho thibela tlhaselo e qalile ka Mphalane selemong se fetileng. Mehato e ts'oanang ea ts'ireletso e se e nkiloe ho Nginx 1.21.0 (moemeli oa poso), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) le Internet Explorer.
Source: opennet.ru