The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

HTTP-заголовок Alt-Svc может применяться для сканирования портов внутренней сети

14.08.2019 14:58

Исследователи из Бостонского университета разработали метод атаки (CVE-2019-11728), позволяющий осуществить сканирование IP-адресов и открытых сетевых портов во внутренней сети пользователя, отгороженной от внешней сети межсетевым экраном, или на текущей системе (localhost). Атака может быть совершена при открытии в браузере специально оформленной страницы. Предложенная техника основана на применении HTTP-заголовка Alt-Svc (HTTP Alternate Services, RFC-7838). Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Browser и Brave.

Заголовок Alt-Svc позволяет серверу определить альтернативный способ обращения к сайту и проинструктировать браузер о необходимости перенаправить запрос на новый хост, например, для балансировки нагрузки. В том числе возможно указание сетевого порта для проброса, например, указание 'Alt-Svc: http/1.1="other.example.com:443";ma=200' предписывает клиенту для получения запрошенной страницы соединиться с хостом other.example.org, используя сетевой порт 443 и протокол HTTP/1.1. Параметр "ma" задаёт максимальное время действия перенаправления. Кроме HTTP/1.1, в качестве протоколов поддерживаются HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) и QUIC (quic), использующий UDP.

Для сканирования адресов сайт атакующего может последовательно перебирать интересующие адреса внутренней сети и сетевые порты, используя в качестве признака задержку между повторными запросами. В случае недоступности перенаправляемого ресурса браузер мгновенно получает в ответ пакет RST и сразу помечает альтернативный сервис недоступным и обнуляет заданное в запросе время жизни перенаправления. Если сетевой порт открыт то для завершения соединения требуется больше времени (будет предпринята попытка установки соединения с соответствующим обменом пакетами) и браузер отреагирует не мгновенно.

Для получения информации о проверке атакующий может следом сразу перенаправить пользователя на вторую страницу, которая в заголовке Alt-Svc сошлётся на работающий хост атакующего. Если браузер клиента отправит запрос на данную страницу, то можно считать, что перенаправление первого запроса Alt-Svc сброшено и проверяемый хост и порт недоступны. Если запроса не последовало, значит данные о первом перенаправлении ещё не просрочены и соединение было установлено.

Указанный метод позволяет в том числе проверять сетевые порты, занесённые в чёрный список браузера, такие как порты почтовых серверов. Работающая атака подготовлена с использованием подстановки iframe в трафик жертвы и применения в Alt-Svc протокола HTTP/2 для Firefox и QUIC для сканирования UDP-портов в Chrome. В Tor Browser атака не может применяться в контексте внутренней сети и localhost, но подходит для организации скрытого сканирования внешних хостов через выходной узел Tor. Проблема со сканированием портов уже устранена в Firefox 68.

Заголовок Alt-Svc также может применяться:

  • При организации DDoS-атак. Например, для TLS перенаправление может обеспечить уровень усиления в 60 раз так как начальный запрос клиента занимает 500 байт, ответ с сертификатом около 30 Кб. Генерируя подобные запросы в цикле на множестве клиентских систем можно добиться исчерпания доступных серверу сетевых ресурсов;
  • Для обхода механизмов защиты от фишинга и вредоносного ПО, предоставляемых такими сервисами, как Safe Browsing (перенаправление на вредоносный хост не приводит к выводу предупреждения);
  • Для организации отслеживания перемещения пользователя. Суть метода в подстановке iframe, ссылающегося в Alt-Svc на внешний обработчик отслеживания перемещения, вызов которого осуществляется, невзирая на включение средств для защиты от трекеров. Также возможно отслеживание на уровне провайдеров через использования в Alt-Svc уникального идентификатора (случайные IP:порт как идентификатор) с его последующим анализом в транзитном трафике;
  • Для извлечения сведений об истории перемещений. Подставив на свою страницу iframe с запросом картинки с заданного сайта, использующего Alt-Svc, и проанализировав состояние Alt-Svc в трафике, атакующий, имеющий возможность анализа транзитного трафика, может сделать вывод о том, что пользователь ранее уже посещал указанный сайт;
  • Зашумление логов систем определения вторжений. Через Alt-Svc можно вызвать волну запросов к вредоносным системам от имени пользователя и создать видимость ложных атак для скрытия в общем объёме сведений о реальной атаке.


  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Обновление Firefox 37.0.1 с устранением критической уязвимости
  3. OpenNews: Представлен инструмент для проведения атак "DNS rebinding"
  4. OpenNews: Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов
  5. OpenNews: Представлен ZMap, инструмент для глобального сканирования Сети
  6. OpenNews: Проект TCP Stealth стал ответом на деятельность спецслужб по сканированию серверов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: http, scan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, вейланд (?), 15:15, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +56 +/
    Напридумывают заголовков, а потом ломают друг друга в порты!
     
  • 1.2, Аноним (2), 15:17, 14/08/2019 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +/
     
     
  • 2.3, ansible (?), 15:20, 14/08/2019 Скрыто модератором
  • +3 +/
     
  • 2.4, Аноним (4), 15:24, 14/08/2019 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (2)

  • 1.6, Аноним (6), 15:26, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    about:config -> network.http.altsvc.enabled: false
     
     
  • 2.8, ананим.orig (?), 16:06, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    всё равно, красиво задумано.
     
  • 2.27, Аноним (27), 23:04, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо
     
  • 2.28, Аноним (28), 23:13, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/ghacksuserjs/ghacks-user.js/blob/master/user.js#L411 :)
     

  • 1.9, Michael Shigorin (ok), 16:34, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    А хоть один случай применения на пользу в масштабах, отличных от нуля, был вообще замечен?
     
     
  • 2.11, пох. (?), 16:50, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ты имеешь в виду, удалось ли сп...ть чьих-то денег? Не, вряд ли.

     
     
     
    Часть нити удалена модератором

  • 4.15, Аноним (15), 17:37, 14/08/2019 [ответить]  
  • +/
    Может таки имелось ввиду, есть ли вообще польза от такого заголовка, кроме "описанной в статье"?:)
     
     
  • 5.18, ыы (?), 18:46, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а вы посмотрите на авторов RFC...
     
     
  • 6.36, пох. (?), 10:25, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не понял, где посмотреть - разьве этих трех макак уже в зоопарк сдали?
     
  • 2.14, Аноним (14), 17:19, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    -у вас несчастные случаи были?
    -нет
    -будут.
     
  • 2.17, Анончик (?), 17:55, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да, для перенаправления пользователей Tor на onion-версию сервиса вместо клирнетовой (что позволяет избежать потенциально подслушивающих экзит-нод Тора).
     
  • 2.38, Всем Анонимам Аноним (?), 07:42, 16/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    QUIC
     

  • 1.10, Kuromi (ok), 16:39, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Browser и Brave."
    То есть везде.
     
     
  • 2.13, Аноним (13), 17:12, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В lynx нет такой проблемы.
     
     
  • 3.20, Аноним (20), 19:19, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кстати в шапочке из фольги тоже нет такой уязвимости.
     
     
  • 4.31, Anonimous (?), 02:11, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кстати в шапочке из фольги тоже нет такой уязвимости

    Хаха, шапочка из фольги работает только против инопланетян,
    для всего остального должна быть другая шапочка -
    из 15мм омеднённого урана, с кевларовой подкладкой и алмазным покрытием!

    В общем, не слушайте его, он тролль!

     
     
  • 5.39, XoRe (ok), 23:52, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > омеднённого урана

    Что мы будем делать сегодня?
    Мы будем обмазывать уран медом!

     

  • 1.16, Аноним (16), 17:50, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В palemoon этот бэкдор не обнаружен
     
     
  • 2.29, Пупкин Вася (?), 23:41, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну не знаю, я у себя нашёл "network.http.altsvc.enabled=true"...
     

  • 1.21, xm (ok), 19:23, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Особенно занимательно будет послушать искпердов из предыдущего топика которые брызгая слюной кричали что HTTP/1.1 это надёжно, а HTTP/2 - "нинужна".
    Говорите громче - плохо слышно.
     
  • 1.22, Alexey (??), 19:28, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А по чему бы и нет, если в браузер заложена такая функция. Пора бы уже просто встроить полное управление удалённой машиной, на случай "возможной помощи пользователю". Да и вообще сделать подключение узла в виде встраивания в кластер, по паспорту конечно, а то мало ли малолетние хулиганы там чего..
     
     
  • 2.30, Пупкин Вася (?), 23:45, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А вот это вы зря с таким сарказмом пишете. Вполне вероятный сценарий будущего, sad but true...
     

  • 1.23, Аноним (23), 21:32, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насколько я понимаю сканировать порты давно возможно с помощью javascript, просто обращаешься к http://localhost:1000, http://localhost:1001, почему именно alt-svc вызывает опасение?

    https://habr.com/ru/post/456558/

     
     
  • 2.24, Аноним (24), 22:02, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наверное тем, что прямое сканированеи очень бросается в глаза, если вдруг глянуть в нетворк монитор.. А обращения зерез заголовок будут типа к самому сайту.. а детали только если сильно внутрь заглядыватью. Если обращений к сайту много, а с заголовкмо только малая часть, то... умаетесь искать..
     
  • 2.26, Michael Shigorin (ok), 22:12, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > сканировать порты давно возможно с помощью javascript

    Это если он включен/разрешён.

     

  • 1.32, Аноним (32), 07:18, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    HTTP Alternate server
    HTTP Alternate downloader
    HTTP Alternate trojan
     
  • 1.33, someone (??), 08:00, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    интересно когда-нибудь браузеры будут по-умолчанию блокировать левыми CA? Ну например проверить несколько ресурсов (тот же амазон и гугл) и если они подписаны одним CA - выдавать "предупреждение" и ничего не открывать? Например, установленные в систему софтом, возможно, вредоносным. Конечно, это больше относится к оффтопику (Windows), но тем не менее.. В Firefox хоть есть свое хранилище, хромиум и основанное на нем использует системное.
     
     
  • 2.34, forum reader (?), 09:47, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И чего ты добьешся этим?  Только того что "возможно" вредоносный софт будет на лету генерить новые сертификаты при каждой новой сессии с ресурсами.

    Поставь себе плагин Certificate Patrol и полазай по яндексу или алиэкспрессу. Заколебешся принимать новые сертификаты для одних и тех же хостов, выданные разными СА, с разными сроками действия.

     
     
  • 3.35, пох. (?), 10:23, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    как раз с яндексом и али все в пределах допустимого - и хосты там, если присмотришься, вовсе не одни и те же, и дальше ограничений на CA можно не лимитировать (это кого надо CA)

    А вот все остальное - с летшиткриптой, которая каждый день разная - увы, да.

    Все, кончился и этот способ хоть как-то держать ситуацию под твоим, а не дядиным, контролем.

     

  • 1.37, Аноним (27), 16:09, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/

    В актуальном Firefox 68 уже исправлено

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру