Almanya'daki çeşitli üniversitelerden araştırmacılardan oluşan bir ekip, HTTPS üzerinde, oturum çerezlerini ve diğer hassas verileri çıkarabilen ve başka bir site bağlamında rastgele JavaScript kodu yürütebilen yeni bir MITM saldırısı geliştirdi. Saldırıya ALPACA adı veriliyor ve farklı uygulama katmanı protokollerini (HTTPS, SFTP, SMTP, IMAP, POP3) uygulayan ancak ortak TLS sertifikaları kullanan TLS sunucularına uygulanabiliyor.
Saldırının özü, saldırganın bir ağ geçidi veya kablosuz erişim noktası üzerinde kontrolü varsa, web trafiğini başka bir ağ bağlantı noktasına yönlendirebilmesi ve TLS şifrelemesini destekleyen ve bir FTP veya posta sunucusuyla bağlantı kurulmasını organize edebilmesidir. TLS sertifikası HTTP sunucusuyla paylaşılır ve kullanıcının tarayıcısı, istenen HTTP sunucusuyla bağlantı kurulduğunu varsayacaktır. TLS protokolü evrensel olduğundan ve uygulama düzeyindeki protokollere bağlı olmadığından, tüm servisler için şifreli bağlantı kurulması aynı olup, yanlış servise istek gönderme hatası ancak istek işlenirken şifreli bir oturum oluşturulduktan sonra belirlenebilir. gönderilen isteğin komutları.
Buna göre, örneğin orijinal olarak HTTPS'ye adreslenen bir kullanıcı bağlantısını, HTTPS sunucusuyla paylaşılan bir sertifikayı kullanan bir posta sunucusuna yönlendirirseniz, TLS bağlantısı başarıyla kurulacaktır ancak posta sunucusu iletilen iletiyi işleyemeyecektir. HTTP komutları ve hata kodunu içeren bir yanıt döndürecektir. Bu yanıt, tarayıcı tarafından istenen siteden gelen yanıt olarak işlenecek ve doğru şekilde kurulmuş şifreli bir iletişim kanalı içerisinde iletilecektir.
Üç saldırı seçeneği önerilmektedir:
- Kimlik doğrulama parametrelerine sahip bir Çerez almak için “Yükle”. TLS sertifikası kapsamındaki FTP sunucusu, verilerini yüklemenize ve almanıza izin veriyorsa bu yöntem uygulanabilir. Bu saldırı türünde saldırgan, örneğin FTP sunucusunun isteği bir kaydetme dosyası olarak yorumlaması veya gelen isteklerin tamamını günlüğe kaydetmesi durumunda, kullanıcının orijinal HTTP isteğinin bazı bölümlerinin (Cookie başlığının içeriği gibi) saklanmasını sağlayabilir. Başarılı bir saldırı için saldırganın bir şekilde depolanan içeriği çıkarması gerekir. Saldırı Proftpd, Microsoft IIS, vsftpd, filezilla ve serv-u için geçerlidir.
- "İndirme" işlemi, siteler arası komut dosyası çalıştırma (XSS) saldırısı için kullanılır. Bu yöntem, bir saldırganın belirli manipülasyonlar yoluyla, yaygın olarak kullanılan bir hizmete veri yerleştirebileceğini varsayar. TLS sertifikasıBu saldırı, daha sonra kullanıcı isteğine yanıt olarak gerçekleştirilebilir. Saldırı, yukarıda belirtilen FTP sunucuları, IMAP sunucuları ve POP3 sunucuları (courier, cyrus, kerio-connect ve zimbra) için geçerlidir.
- JavaScript'i başka bir site bağlamında çalıştırmak için "Yansıma". Yöntem, saldırganın gönderdiği JavaScript kodunu içeren isteğin istemci kısmına geri dönmeye dayanmaktadır. Saldırı, yukarıda belirtilen FTP sunucuları, cyrus, kerio-connect ve zimbra IMAP sunucularının yanı sıra sendmail SMTP sunucusuna da uygulanabilir.
Örneğin, bir kullanıcı, saldırgan tarafından kontrol edilen bir sayfayı açtığında, bu sayfa, kullanıcının aktif hesabının bulunduğu bir siteden (örneğin, bank.com) kaynak isteği başlatabilir. MITM saldırısı sırasında, bank.com web sitesine gönderilen bu istek, bank.com ile paylaşılan TLS sertifikasını kullanan bir e-posta sunucusuna yönlendirilebilir. Posta sunucusu ilk hatadan sonra oturumu sonlandırmadığından, "POST / HTTP/1.1" ve "Host:" gibi hizmet başlıkları ve komutlar, bilinmeyen komutlar olarak işlenecektir (posta sunucusu, "500 tanınmayan komut" döndürecektir). her başlık).
Posta sunucusu, HTTP protokolünün özelliklerini anlamıyor ve bunun için POST isteğinin hizmet başlıkları ve veri bloğu aynı şekilde işleniyor, böylece POST isteğinin gövdesinde bir komut içeren bir satır belirleyebilirsiniz. posta sunucusu. Örneğin, şunu iletebilirsiniz: MAIL FROM: alert(1); posta sunucusunun 501 hata mesajı döndüreceği alert(1); : hatalı biçimlendirilmiş adres: uyarı(1); takip etmeyebilir
Bu yanıt, kullanıcının tarayıcısı tarafından alınacak ve yanıt doğru bir TLS oturumu içinde geldiğinden, saldırganın başlangıçta açık olan web sitesi bağlamında değil, isteğin gönderildiği bank.com web sitesi bağlamında JavaScript kodunu çalıştıracaktır. sertifikası, bank.com yanıtının gerçekliğini doğruladı.
Küresel ağın taranması, genel olarak yaklaşık 1.4 milyon web sunucusunun sorundan etkilendiğini ve farklı protokoller kullanarak istekleri karıştırarak bir saldırı gerçekleştirmenin mümkün olduğunu gösterdi. Diğer uygulama protokollerine dayalı TLS sunucularının eşlik ettiği 119 bin web sunucusu için gerçek bir saldırı olasılığı belirlendi.
Pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla ve serv-u ftp sunucuları, dovecot, courier, exchange, cyrus, kerio-connect ve zimbra, SMTP sunucuları postfix, exim, sendmail için IMAP ve POP3 sunucuları için istismar örnekleri hazırlanmıştır. , postalanabilir, mdaemon ve opensmtpd. Araştırmacılar saldırının yalnızca FTP, SMTP, IMAP ve POP3 sunucularıyla birlikte gerçekleştirilme olasılığını araştırdı ancak sorunun TLS kullanan diğer uygulama protokolleri için de ortaya çıkması muhtemel.
Saldırıyı engellemek için, uygulama protokolünü dikkate alarak bir TLS oturumu müzakere etmek üzere ALPN (Uygulama Katmanı Protokolü Müzakeresi) uzantısının ve birden fazla protokolü kapsayan TLS sertifikaları kullanılması durumunda ana bilgisayar adına bağlanmak üzere SNI (Sunucu Adı Gösterimi) uzantısının kullanılması önerilmektedir. alan adlarıUygulama tarafında, komut işleme sırasında oluşan hata sayısının sınırlandırılması önerilir; bu hatalardan sonra bağlantı sonlandırılır. Saldırıyı engellemeye yönelik önlemlerin geliştirilmesi süreci geçen yılın Ekim ayında başladı. Benzer koruyucu önlemler Nginx 1.21.0 (posta proxy'si), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZill, crypto/tls (Go) ve Internet Explorer'da zaten benimsenmiştir.
Kaynak: opennet.ru
