Các nhà nghiên cứu đã tiết lộ một kiểu tấn công mới khai thác cấu hình sai trong các máy chủ bảo mật lớp truyền tải (TLS) để chuyển hướng lưu lượng HTTPS từ trình duyệt web của nạn nhân đến một điểm cuối dịch vụ TLS khác nằm trên địa chỉ IP khác để lấy cắp thông tin nhạy cảm.
Các cuộc tấn công đã được lồng tiếng ALPACA, viết tắt của “Sự nhầm lẫn giao thức tầng ứng dụng – Phân tích và giảm thiểu các vết nứt trong xác thực tls”, bởi một nhóm học giả từ Đại học Ruhr Bochum, Đại học Khoa học Ứng dụng Münster và Đại học Paderborn.
“Những kẻ tấn công có thể chuyển hướng lưu lượng truy cập từ tên miền phụ này sang tên miền phụ khác, dẫn đến một phiên TLS hợp lệ”, nghiên cứu cho biết. “Điều này phá vỡ xác thực của TLS và các cuộc tấn công chéo giao thức có thể xảy ra khi hành vi của một dịch vụ giao thức có thể làm tổn hại đến dịch vụ khác ở lớp ứng dụng.”
TLS là một giao thức mật mã làm nền tảng cho một số giao thức lớp ứng dụng như HTTPS, SMTP, IMAP, POP3 và FTP để bảo mật thông tin liên lạc qua mạng với mục tiêu thêm một lớp xác thực và duy trì tính toàn vẹn của dữ liệu được trao đổi trong khi truyền.
Các cuộc tấn công ALPACA có thể xảy ra vì TLS không ràng buộc kết nối TCP với giao thức lớp ứng dụng dự kiến, các nhà nghiên cứu giải thích. Do đó, việc TLS không bảo vệ được tính toàn vẹn của kết nối TCP có thể bị lạm dụng để “chuyển hướng lưu lượng truy cập TLS cho điểm cuối và giao thức dịch vụ TLS dự kiến sang một điểm cuối và giao thức dịch vụ TLS thay thế.”
Với một máy khách (tức là trình duyệt web) và hai máy chủ ứng dụng (tức là máy chủ dự định và máy thay thế), mục đích là đánh lừa máy chủ thay thế chấp nhận dữ liệu ứng dụng từ máy khách hoặc ngược lại. Vì máy khách sử dụng một giao thức cụ thể để mở một kênh an toàn với máy chủ dự định (giả sử, HTTPS) trong khi máy chủ thay thế sử dụng một giao thức lớp ứng dụng khác (ví dụ, FTP) và chạy trên một điểm cuối TCP riêng biệt, kết hợp lên đến đỉnh điểm cái gọi là tấn công đa giao thức.
Ít nhất ba kịch bản giả định tấn công giao thức chéo đã được phát hiện, có thể bị kẻ thù lợi dụng để phá vỡ các biện pháp bảo vệ TLS và nhắm mục tiêu FTP và máy chủ email. Tuy nhiên, các cuộc tấn công phụ thuộc vào điều kiện tiên quyết là thủ phạm có thể chặn và chuyển hướng lưu lượng truy cập của nạn nhân ở lớp TCP / IP.
Nói một cách đơn giản, các cuộc tấn công có dạng một kế hoạch man-in-the-middle (MitM), trong đó tác nhân độc hại lôi kéo nạn nhân mở một trang web dưới sự kiểm soát của họ để kích hoạt một yêu cầu HTTPS nhiều nguồn gốc với một tải trọng FTP được chế tạo đặc biệt. Sau đó, yêu cầu này được chuyển hướng đến máy chủ FTP sử dụng chứng chỉ tương thích với chứng chỉ của trang web, dẫn đến phiên TLS hợp lệ.
Do đó, cấu hình sai trong các dịch vụ TLS có thể bị khai thác để lấy cookie xác thực hoặc dữ liệu cá nhân khác đến máy chủ FTP (Tấn công tải lên), truy xuất tải trọng JavaScript độc hại từ máy chủ FTP trong một cuộc tấn công XSS được lưu trữ (Tấn công tải xuống) hoặc thậm chí thực hiện XSS phản ánh trong bối cảnh của trang web nạn nhân (Reflection Attack).
Tất cả các máy chủ TLS có chứng chỉ tương thích với các dịch vụ TLS khác dự kiến sẽ bị ảnh hưởng. Trong một thiết lập thử nghiệm, các nhà nghiên cứu phát hiện ra rằng ít nhất 1,4 triệu máy chủ web dễ bị tấn công đa giao thức, với 114.197 máy chủ được coi là dễ bị tấn công bằng cách sử dụng máy chủ SMTP, IMAP, POP3 hoặc FTP có thể khai thác được với chứng chỉ đáng tin cậy và tương thích. .
Để chống lại các cuộc tấn công đa giao thức, các nhà nghiên cứu đề xuất sử dụng Đàm phán giao thức lớp ứng dụng (ALPN) và Chỉ báo Tên Máy chủ (SNI) phần mở rộng cho TLS mà máy khách có thể sử dụng để cho máy chủ biết về giao thức dự định sẽ được sử dụng qua kết nối an toàn và tên máy chủ mà nó đang cố gắng kết nối khi bắt đầu bắt tay quá trình.
Các phát hiện dự kiến sẽ được trình bày tại Black Hat USA 2021 và tại USENIX Security Symposium 2021. Các hiện vật bổ sung liên quan đến cuộc tấn công ALPACA có thể được truy cập thông qua GitHub đây.
