ProHoster > Blog > warta internét > Lulugu HTTP Alt-Svc tiasa dianggo pikeun nyeken palabuhan jaringan internal

Lulugu HTTP Alt-Svc tiasa dianggo pikeun nyeken palabuhan jaringan internal

Panaliti ti Universitas Boston dimekarkeun métode serangan
(CVE-2019-11728) ngidinan nyeken alamat IP sareng buka palabuhan jaringan dina jaringan internal pangguna, dipager ti jaringan éksternal ku firewall, atanapi dina sistem ayeuna (localhost). Serangan tiasa dilaksanakeun nalika muka halaman anu dirarancang khusus dina browser. Téhnik anu diusulkeun dumasar kana panggunaan lulugu HTTP Alt-Svc (Layanan Alternatip HTTP, RFC-7838). Masalahna lumangsung dina Firefox, Chrome sareng browser dumasar kana mesinna, kalebet Tor Browser sareng Brave.

The Alt-Svc lulugu ngamungkinkeun server nangtukeun hiji cara alternatif pikeun ngakses situs jeung maréntahkeun browser pikeun alihan pamundut ka host anyar, contona pikeun load balancing. Ieu oge mungkin pikeun nangtukeun port jaringan pikeun diteruskeun, contona, nangtukeun 'Alt-Svc: http/1.1="other.example.com:443";ma=200' instructs klien pikeun nyambung ka host other.example .org pikeun nampa kaca dipénta ngagunakeun port jaringan 443 jeung protokol HTTP / 1.1. Parameter "ma" nangtukeun durasi redirection maksimum. Salian HTTP / 1.1, HTTP / 2-over-TLS (h2), HTTP / 2-over téks polos (h2c), SPDY (spdy) sareng QUIC (quic) nganggo UDP dirojong salaku protokol.

Lulugu HTTP Alt-Svc tiasa dianggo pikeun nyeken palabuhan jaringan internal

Pikeun nyeken alamat, situs panyerang tiasa sacara berurutan milarian alamat jaringan internal sareng palabuhan jaringan anu dipikaresep, nganggo jeda antara pamundut anu diulang salaku tanda.
Upami sumber daya anu dialihkeun henteu sayogi, browser langsung nampi pakét RST pikeun ngaréspon sareng langsung nandaan jasa alternatif salaku henteu sayogi sareng ngareset umur alihan anu dijelaskeun dina pamundut.
Upami palabuhan jaringan dibuka, éta bakal langkung lami pikeun ngarengsekeun sambungan (usaha bakal dilakukeun pikeun nyambungkeun sambungan sareng bursa pakét anu saluyu) sareng browser moal langsung ngaréspon.

Pikeun kéngingkeun inpormasi ngeunaan verifikasi, panyerang teras tiasa langsung alihan pangguna ka halaman kadua, anu dina lulugu Alt-Svc bakal ngarujuk kana host anu ngajalankeun panyerang. Upami panyungsi klien ngirim pamundut ka halaman ieu, maka urang tiasa nganggap yén alihan pamundut Alt-Svc anu munggaran parantos direset sareng host sareng port anu diuji henteu sayogi. Upami pamenta henteu ditampi, maka data ngeunaan alihan munggaran henteu acan kadaluwarsa sareng sambunganna parantos didamel.

Metoda ieu ogé ngidinan Anjeun pikeun pariksa palabuhan jaringan blacklisted ku browser, kayaning palabuhan server mail. A serangan digawé ieu disiapkeun ngagunakeun substitusi iframe dina lalulintas korban sarta pamakéan protokol HTTP / 2 di Alt-Svc pikeun Firefox sarta QUIC pikeun scan port UDP di Chrome. Dina Tor Browser, serangan éta henteu tiasa dianggo dina kontéks jaringan internal sareng localhost, tapi cocog pikeun ngatur scanning rahasia host éksternal ngalangkungan titik kaluar Tor. Masalah sareng port scanning parantos aya ngaleungitkeun dina Firefox 68.

Lulugu Alt-Svc ogé tiasa dianggo:

  • Nalika ngatur serangan DDoS. Contona, pikeun TLS, alihan bisa nyadiakeun tingkat gain 60 kali saprak pamundut klien awal nyokot 500 bait, respon kalayan sertipikat nyaeta ngeunaan 30 KB. Ku generating requests sarupa dina loop on sababaraha sistem klien, anjeun tiasa knalpot sumberdaya jaringan sadia pikeun server;

    Lulugu HTTP Alt-Svc tiasa dianggo pikeun nyeken palabuhan jaringan internal

  • Pikeun ngaliwat mékanisme anti phishing sareng anti malware anu disayogikeun ku jasa sapertos Browsing Aman (ngalihkeun ka host jahat henteu ngahasilkeun peringatan);
  • Pikeun ngatur tracking gerakan pamaké. Hakekat metoda nyaeta substitusi hiji iframe nu rujukan dina Alt-Svc hiji Handler tracking gerakan éksternal, nu disebut paduli citakan tina parabot anti Tracker. Ieu oge mungkin pikeun ngalacak di tingkat panyadia ngaliwatan pamakéan hiji identifier unik dina Alt-Svc (acak IP: port salaku hiji identifier) ​​​​kalawan analisis saterusna dina lalulintas transit;

    Lulugu HTTP Alt-Svc tiasa dianggo pikeun nyeken palabuhan jaringan internal

    Lulugu HTTP Alt-Svc tiasa dianggo pikeun nyeken palabuhan jaringan internal

  • Pikeun meunangkeun informasi sajarah gerakan. Ku nyelapkeun gambar tina situs anu dipasihkeun anu ngagunakeun Alt-Svc kana halaman iframena kalayan pamundut sareng nganalisa kaayaan Alt-Svc dina lalu lintas, panyerang anu gaduh kamampuan pikeun nganalisis lalu lintas transit tiasa nyimpulkeun yén pangguna saacanna nganjang ka tempat anu ditangtukeun. situs;
  • Log bising tina sistem deteksi intrusion. Ngaliwatan Alt-Svc, anjeun bisa ngabalukarkeun gelombang requests kana sistem jahat atas nama pamaké sarta nyieun penampilan serangan palsu pikeun nyumputkeun informasi ngeunaan serangan nyata dina volume umum.

sumber: opennet.ru

Tambahkeun komentar