Μια ακόμη ευπάθεια λογισμικού επηρεάζει τα προϊόντα των κολλοσσών του διαδικτύου. Η άκρως επικίνδυνη ευπάθεια με την ονομασία FalseCONNECT έγκειται σε λύσεις και εφαρμογές που χειρίζονται proxy connections…

Ο ερευνητής ασφάλειας Jerry Decime αποκάλυψε λεπτομέρειες σχετικά με την ευπάθεια FalseCONNECT, η οποία επιτρέπει σε έναν εισβολέα να διεξάγει επιθέσεις Μan-in-the-Μiddle αναδρομολογώντας το HTTPS Traffic, χάρη σε ατέλειες στην εφαρμογή των διαδικασιών πιστοποίησης proxy σε διάφορα λογισμικά.

Σύμφωνα με τον ερευνητή, υπάρχει ένα σημαντικό κενό ασφάλειας στον τρόπο με τον οποίο οι εφαρμογές διαφόρων εταιριών ανταποκρίνονται στα αιτήματα HTTP CONNECT και στις αποκρίσεις “HTTP/1.0 407 Proxy Authentication Required”.

Αυτό το κενό ασφάλειας εκδηλώνεται μόνο σε δικτυακά περιβάλλοντα όπου οι χρήστες χρησιμοποιούν proxy συνδέσεις για να συνδεθούν online, κάτι που συναντάται συχνά σε δίκτυα επιχειρήσεων με ισχυρά τείχη προστασίας.

Ο Decime εξηγεί ότι ένας εισβολέας που έχει πρόσβαση σε κάποιο παραβιασμένο δίκτυο και τη δυνατότητα να παρακολουθεί το proxy traffic, μπορεί να παρακολουθεί επίσης και τις αιτήσεις HTTP CONNECT που αποστέλλονται στο τοπικό proxy.

Όταν ο εισβολέας εντοπίσει ένα αίτημα HTTP CONNECT, τότε μπορεί να απαντήσει ο ίδιος αντί του πραγματικού proxy server και να αποστείλει μια απόκριση “HTTP/1.0 407 Proxy Authentication Required”, ζητώντας από το χρήστη κωδικό πρόσβασης για να μπορέσει να εισέλθει στην υπηρεσία που επιθυμεί.

Δεδομένου ότι οι αιτήσεις HTTP CONNECT είναι μη κρυπτογραφημένες, ο επιτιθέμενος γνωρίζει πότε το θύμα επιχειρεί να αποκτήσει πρόσβαση σε ευαίσθητους λογαριασμούς, όπως e-mail ή intranet servers – ακόμη και αν οι υπηρεσίες αυτές παρέχονται μέσω HTTPS.

Έτσι ο εισβολέας μπορεί να υποχρεώσει το χρήστη σε έλεγχο ταυτότητας, αποστέλλοντας τις αποκρίσεις πίσω σε αυτόν και υποκλέπτοντας τα στοιχεία πρόσβασής του.

Σύμφωνα με το US-CERT (Cyber Emergency Response Team), οι Webkit-based clients είναι ιδιαίτερα ευάλωτοι στην εν λόγω ευπάθεια. Η τεχνολογία Webkit χρησιμοποιείται ευρέως σε λογισμικά όπως Chrome, iTunes, Google Drive, Safari και πολλές mobile εφαρμογές.

Πολλοί προμηθευτές λογισμικού αναπτύσσουν εφαρμογές που έχουν τη δυνατότητα να χειρίζονται συνδέσεις proxy, και ως εκ τούτου είναι δυνητικά ευάλωτες στην ευπάθεια. Μέχρι στιγμής οι Apple, Microsoft, Oracle, και Opera έχουν αναγνωρίσει ότι τα προϊόντα τους επηρεάζονται από το FalseCONNECT, ενώ η Lenovo δήλωσε ότι το συγκεκριμένο σφάλμα δεν επηρεάζει το λογισμικό της.

Άλλοι προμηθευτές λογισμικού που εξετάζουν ακόμη εάν επηρεάζονται από την ευπάθεια είναι οι Cisco, Google, HP, IBM, Juniper, Mozilla, Nokia, OpenBSD, SAP, Sony, Linux, κ.α.

Πηγή: Secnews