Timu ya watafiti kutoka vyuo vikuu kadhaa nchini Ujerumani imeunda mashambulizi mapya ya MITM kwenye HTTPS ambayo yanaweza kutoa vidakuzi vya kipindi na data nyingine nyeti, na pia kutekeleza msimbo wa JavaScript kiholela katika muktadha wa tovuti nyingine. Shambulio hilo linaitwa ALPACA na linaweza kutumika kwa seva za TLS zinazotekeleza itifaki tofauti za safu ya programu (HTTPS, SFTP, SMTP, IMAP, POP3), lakini zinatumia vyeti vya kawaida vya TLS.
Kiini cha shambulio hilo ni kwamba ikiwa ana udhibiti wa lango la mtandao au mahali pa ufikiaji pasiwaya, mshambuliaji anaweza kuelekeza trafiki ya wavuti kwenye bandari nyingine ya mtandao na kuandaa uanzishaji wa muunganisho na FTP au seva ya barua inayotumia usimbaji fiche wa TLS na kutumia Cheti cha TLS kinachojulikana na seva ya HTTP , na kivinjari cha mtumiaji kitachukulia kuwa muunganisho umeanzishwa na seva ya HTTP iliyoombwa. Kwa kuwa itifaki ya TLS ni ya ulimwengu wote na haifungamani na itifaki za kiwango cha maombi, uanzishaji wa muunganisho uliosimbwa kwa huduma zote ni sawa na hitilafu ya kutuma ombi kwa huduma isiyo sahihi inaweza kubainishwa tu baada ya kuanzisha kipindi kilichosimbwa wakati wa kuchakata. amri za ombi lililotumwa.
Ipasavyo, kama, kwa mfano, utaelekeza upya muunganisho wa mtumiaji ulioelekezwa kwa HTTPS kwa seva ya barua inayotumia cheti kilichoshirikiwa na seva ya HTTPS, muunganisho wa TLS utaanzishwa kwa ufanisi, lakini seva ya barua haitaweza kuchakata iliyotumwa. HTTP inaamuru na itarudisha jibu lenye msimbo wa hitilafu. Jibu hili litachakatwa na kivinjari kama jibu kutoka kwa tovuti iliyoombwa, na kusambazwa ndani ya njia iliyosimbwa kwa njia sahihi iliyosimbwa.
Chaguzi tatu za kushambulia zinapendekezwa:
- "Pakia" ili kurejesha Kidakuzi kilicho na vigezo vya uthibitishaji. Mbinu hiyo inatumika ikiwa seva ya FTP iliyo chini ya cheti cha TLS inakuruhusu kupakua na kurejesha data yake. Katika lahaja hii ya shambulio, mshambulizi anaweza kufikia uhifadhi wa sehemu za ombi asili la HTTP la mtumiaji, kama vile yaliyomo kwenye kichwa cha Vidakuzi, kwa mfano, ikiwa seva ya FTP itafasiri ombi kama faili ya kuhifadhi au kuhifadhi maombi yote yanayoingia. Ili kushambulia kwa ufanisi, mvamizi basi anahitaji kwa namna fulani kutoa maudhui yaliyohifadhiwa. Shambulio hilo linatumika kwa Proftpd, Microsoft IIS, vsftpd, filezilla na serv-u.
- "Pakua" kwa ajili ya kupanga uandishi wa tovuti mbalimbali (XSS). Mbinu hii inamaanisha kuwa mvamizi, kutokana na upotoshaji fulani wa kibinafsi, anaweza kuweka data katika huduma inayotumia cheti cha kawaida cha TLS, ambacho kinaweza kutolewa kwa kujibu ombi la mtumiaji. Shambulio hilo linatumika kwa seva za FTP zilizotajwa hapo juu, seva za IMAP na seva za POP3 (courier, cyrus, kerio-connect na zimbra).
- "Tafakari" ili kuendesha JavaScript katika muktadha wa tovuti nyingine. Mbinu inatokana na kurudisha kwa mteja sehemu ya ombi, ambayo ina msimbo wa JavaScript uliotumwa na mvamizi. Shambulio hilo linatumika kwa seva za FTP zilizotajwa hapo juu, seva za IMAP cyrus, kerio-connect na zimbra, pamoja na seva ya kutuma barua pepe ya SMTP.
Kwa mfano, mtumiaji anapofungua ukurasa unaodhibitiwa na mshambulizi, ukurasa huu unaweza kuanzisha ombi la rasilimali kutoka kwa tovuti ambayo mtumiaji ana akaunti inayotumika (kwa mfano, bank.com). Wakati wa shambulio la MITM, ombi hili lililotumwa kwa tovuti ya bank.com linaweza kuelekezwa kwenye seva ya barua pepe inayotumia cheti cha TLS ambacho kinashirikiwa na bank.com. Kwa kuwa seva ya barua haikatishi kipindi baada ya kosa la kwanza, vichwa vya huduma na amri kama vile "POST / HTTP/1.1" na "Host:" zitachakatwa kama amri zisizojulikana (seva ya barua itarudisha "amri 500 isiyotambulika" kwa kila kichwa).
Seva ya barua haielewi vipengele vya itifaki ya HTTP na kwa ajili yake vichwa vya huduma na kizuizi cha data cha ombi la POST vinachakatwa kwa njia ile ile, kwa hiyo katika mwili wa ombi la POST unaweza kutaja mstari na amri ya seva ya barua. Kwa mfano, unaweza kupitisha: MAIL KUTOKA: alert(1); ambayo seva ya barua itarudisha ujumbe wa hitilafu 501 alert(1); : anwani yenye hitilafu: tahadhari(1); inaweza isifuate
Jibu hili litapokelewa na kivinjari cha mtumiaji, ambacho kitatekeleza msimbo wa JavaScript katika muktadha si wa tovuti ya mvamizi iliyofunguliwa hapo awali, lakini tovuti ya bank.com ambayo ombi hilo lilitumwa, kwa kuwa jibu lilikuja ndani ya kipindi sahihi cha TLS. , cheti ambacho kilithibitisha ukweli wa majibu ya bank.com.
Uchunguzi wa mtandao wa kimataifa ulionyesha kuwa kwa ujumla, seva za wavuti milioni 1.4 zimeathiriwa na tatizo, ambalo inawezekana kufanya mashambulizi kwa kuchanganya maombi kwa kutumia itifaki tofauti. Uwezekano wa shambulio la kweli ulibainishwa kwa seva za wavuti elfu 119 ambazo ziliambatana na seva za TLS kulingana na itifaki zingine za programu.
Mifano ya matumizi imetayarishwa kwa seva za ftp pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla na serv-u, IMAP na seva za POP3 dovecot, courier, kubadilishana, cyrus, kerio-connect na zimbra, seva za SMTP postfix, exim, sendmail , zinazoweza kutumwa, mdaemon na opensmtpd. Watafiti wamechunguza uwezekano wa kufanya shambulizi kwa kuchanganya tu na seva za FTP, SMTP, IMAP na POP3, lakini kuna uwezekano kwamba tatizo linaweza kutokea kwa itifaki nyingine za programu zinazotumia TLS.
Ili kuzuia shambulio hilo, inapendekezwa kutumia kiendelezi cha ALPN (Application Layer Protocol Negotiation) ili kujadili kikao cha TLS kwa kuzingatia itifaki ya maombi na kiendelezi cha SNI (Ashirio la Jina la Seva) ili kushurutisha kwa jina la seva pangishi katika kesi ya kutumia. Vyeti vya TLS vinavyojumuisha majina kadhaa ya vikoa. Kwa upande wa maombi, inashauriwa kupunguza kikomo kwa idadi ya makosa wakati wa usindikaji amri, baada ya hapo uunganisho umesitishwa. Mchakato wa kuandaa hatua za kuzuia shambulio hilo ulianza Oktoba mwaka jana. Hatua sawia za usalama tayari zimechukuliwa katika Nginx 1.21.0 (proksi ya barua pepe), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) na Internet Explorer.
Chanzo: opennet.ru