Ẹgbẹ kan ti awọn oniwadi lati ọpọlọpọ awọn ile-ẹkọ giga ni Jamani ti ṣe agbekalẹ ikọlu MITM tuntun kan lori HTTPS ti o le jade awọn kuki igba ati awọn data ifura miiran, bakanna bi ṣiṣe koodu JavaScript lainidii ni aaye ti aaye miiran. Ikọlu naa ni a pe ni ALPACA ati pe o le lo si awọn olupin TLS ti o ṣe awọn ilana Layer ohun elo oriṣiriṣi (HTTPS, SFTP, SMTP, IMAP, POP3), ṣugbọn lo awọn iwe-ẹri TLS ti o wọpọ.
Ohun pataki ti ikọlu ni pe ti o ba ni iṣakoso lori ẹnu-ọna nẹtiwọọki kan tabi aaye iwọle alailowaya, ikọlu le ṣe atunṣe ijabọ wẹẹbu si ibudo nẹtiwọọki miiran ati ṣeto idasile asopọ kan pẹlu FTP tabi olupin meeli ti o ṣe atilẹyin fifi ẹnọ kọ nkan TLS ati lilo a Ijẹrisi TLS ti o wọpọ pẹlu olupin HTTP, ati ẹrọ aṣawakiri olumulo yoo ro pe asopọ kan ti fi idi mulẹ pẹlu olupin HTTP ti o beere. Niwọn igba ti ilana TLS jẹ gbogbo agbaye ati pe ko ni asopọ si awọn ilana-ipele ohun elo, idasile asopọ ti paroko fun gbogbo awọn iṣẹ jẹ aami kanna ati aṣiṣe ti fifiranṣẹ ibeere kan si iṣẹ ti ko tọ ni a le pinnu nikan lẹhin idasile igba fifi ẹnọ kọ nkan lakoko ṣiṣe ilana naa. awọn ofin ti ibeere ti a firanṣẹ.
Nitorinaa, ti o ba jẹ pe, fun apẹẹrẹ, o ṣe atunṣe asopọ olumulo kan ni akọkọ ti a koju si HTTPS si olupin meeli kan ti o nlo ijẹrisi ti o pin pẹlu olupin HTTPS, asopọ TLS yoo jẹ idasilẹ ni aṣeyọri, ṣugbọn olupin meeli kii yoo ni anfani lati ṣe ilana ti a firanṣẹ. Awọn pipaṣẹ HTTP ati pe yoo da esi pada pẹlu koodu aṣiṣe. Idahun yii yoo jẹ ilọsiwaju nipasẹ ẹrọ aṣawakiri bi esi lati aaye ti o beere, ti o tan kaakiri laarin ikanni ibaraẹnisọrọ fifi ẹnọ kọ nkan ti o tọ.
Awọn aṣayan ikọlu mẹta ni a dabaa:
- “Ṣe agbejade” lati gba Kuki kan pada pẹlu awọn aye ijẹrisi. Ọna naa wulo ti olupin FTP ti o bo nipasẹ ijẹrisi TLS gba ọ laaye lati gbejade ati gba data rẹ pada. Ninu iyatọ ikọlu yii, ikọlu le ṣaṣeyọri idaduro awọn apakan ti ibeere HTTP atilẹba ti olumulo, gẹgẹbi awọn akoonu ti akọsori Kuki, fun apẹẹrẹ, ti olupin FTP ba tumọ ibeere naa bi faili fifipamọ tabi ṣe igbasilẹ awọn ibeere ti nwọle patapata. Lati kọlu aṣeyọri, olutayo naa nilo lati jade bakan akoonu ti o fipamọ. Ikọlu naa wulo fun Proftpd, Microsoft IIS, vsftpd, filezilla ati serv-u.
- “Download” fun siseto iwe afọwọkọ aaye-agbelebu (XSS). Ọna naa tumọ si pe ikọlu naa, nitori abajade diẹ ninu awọn ifọwọyi kọọkan, le gbe data sinu iṣẹ kan ti o nlo ijẹrisi TLS ti o wọpọ, eyiti o le ṣe ifilọlẹ ni idahun si ibeere olumulo kan. Ikọlu naa wulo fun awọn olupin FTP ti a mẹnuba loke, awọn olupin IMAP ati awọn olupin POP3 (oluranse, cyrus, kerio-connect ati zimbra).
- "Iṣiro" lati ṣiṣẹ JavaScript ni aaye ti aaye miiran. Ọna naa da lori ipadabọ si apakan alabara ti ibeere naa, eyiti o ni koodu JavaScript ti a fi ranṣẹ nipasẹ ikọlu naa. Ikọlu naa wulo fun awọn olupin FTP ti a mẹnuba loke, awọn cyrus, kerio-connect ati awọn olupin IMAP zimbra, bakanna bi olupin SMTP firanṣẹ.
Fun apẹẹrẹ, nigbati olumulo ba ṣii oju-iwe kan ti o ṣakoso nipasẹ ikọlu, oju-iwe yii le bẹrẹ ibeere kan fun orisun lati aaye kan nibiti olumulo ti ni akọọlẹ ti nṣiṣe lọwọ (fun apẹẹrẹ, banki.com). Lakoko ikọlu MITM kan, ibeere yii ti a koju si oju opo wẹẹbu banki.com le ṣe darí si olupin imeeli ti o nlo ijẹrisi TLS ti o pin pẹlu banki.com. Niwọn igba ti olupin meeli ko ba fopin si igba lẹhin aṣiṣe akọkọ, awọn akọle iṣẹ ati awọn aṣẹ bii “POST / HTTP/1.1” ati “Olulejo:” yoo ṣe ilana bi awọn aṣẹ aimọ (olupin meeli yoo pada “aṣẹ ti a ko mọ 500” fun akọsori kọọkan).
Olupin meeli ko loye awọn ẹya ti ilana HTTP ati fun awọn akọle iṣẹ ati bulọki data ti ibeere POST ni a ṣe ilana ni ọna kanna, nitorinaa ninu ara ti ibeere POST o le pato laini kan pẹlu aṣẹ kan si olupin mail. Fun apẹẹrẹ, o le kọja: mail LATI: alert(1); si eyiti olupin meeli yoo da ifiranṣẹ aṣiṣe 501 pada alert(1); : adiresi aiṣedeede: gbigbọn (1); le ma tẹle
Idahun yii yoo gba nipasẹ ẹrọ aṣawakiri olumulo, eyiti yoo ṣiṣẹ koodu JavaScript ni aaye kii ṣe ti oju opo wẹẹbu ṣiṣi akọkọ ti ikọlu, ṣugbọn ti oju opo wẹẹbu banki.com eyiti o fi ibeere ranṣẹ si, nitori idahun naa wa laarin igba TLS to pe , ijẹrisi ti o jẹrisi otitọ ti idahun bank.com.
Ṣiṣayẹwo ti nẹtiwọọki agbaye fihan pe ni gbogbogbo, nipa awọn olupin wẹẹbu 1.4 million ni o ni ipa nipasẹ iṣoro naa, fun eyiti o ṣee ṣe lati gbe ikọlu kan nipa didapọ awọn ibeere nipa lilo awọn ilana oriṣiriṣi. O ṣeeṣe ti ikọlu gidi kan ti pinnu fun awọn olupin wẹẹbu 119 ẹgbẹrun fun eyiti awọn olupin TLS ti o tẹle wa ti o da lori awọn ilana elo elo miiran.
Awọn apẹẹrẹ ti exploits ti pese sile fun awọn olupin ftp pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla ati serv-u, IMAP ati POP3 olupin dovecot, Oluranse, paṣipaarọ, cyrus, kerio-connect ati zimbra, SMTP olupin postfix, exim, sendmail , mailenable, mdaemon ati opensmtpd. Awọn oniwadi ti ṣe iwadi iṣeeṣe ti gbigbe ikọlu kan nikan ni apapọ pẹlu FTP, SMTP, IMAP ati awọn olupin POP3, ṣugbọn o ṣee ṣe pe iṣoro naa le tun waye fun awọn ilana elo elo miiran ti o lo TLS.
Lati ṣe idiwọ ikọlu naa, o daba lati lo itẹsiwaju ALPN (Idunadura Ilana Ilana Ohun elo) lati ṣe idunadura igba TLS kan ni akiyesi ilana ohun elo ati itẹsiwaju SNI (Itọka Orukọ olupin) lati sopọ mọ orukọ agbalejo ni ọran lilo Awọn iwe-ẹri TLS ti o bo ọpọlọpọ awọn orukọ ìkápá. Ni ẹgbẹ ohun elo, a ṣe iṣeduro lati fi opin si opin lori nọmba awọn aṣiṣe nigbati awọn ilana ṣiṣe, lẹhin eyi ti asopọ naa ti pari. Ilana ti idagbasoke awọn igbese lati ṣe idiwọ ikọlu bẹrẹ ni Oṣu Kẹwa ọdun to kọja. Awọn ọna aabo ti o jọra ni a ti mu tẹlẹ ni Nginx 1.21.0 (aṣoju meeli), Vsftpd 3.0.4, Oluranse 5.1.0, Sendmail, FileZill, crypto/tls (Go) ati Internet Explorer.
orisun: opennet.ru