-
-
思科Jabbar聊天客户端易受中间人攻击
-
发表于: 2016-1-13 14:47
-
新闻链接:c8eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8X3&6W2N6s2N6G2M7X3E0Q4x3V1j5&6x3U0f1@1z5g2)9J5k6h3S2@1L8h3H3`.
新闻时间:2016-1-13
新闻正文:
思科发布官方公告称,其聊天客户端Jabbar中存在安全漏洞,易遭受中间人攻击。
该漏洞存在基于Windows平台的Jabbar中,未经授权的远程攻击者可利用该漏洞实施STARTTLS降级攻击。影响10.6.x、11.0.x和11.1.x版本。CVE编号为CVE-2015-6409,CNNVD编号为CNNVD-201512-597。
技术细节
当用户使用公共WIFI热点时,如果攻击者建立一个同用户使用的热点ESSID名称相同的伪造热点,就可以截获客户端与服务器端的流量,阻止STARTTLS请求的转发,将篡改的XMPP消息放入服务器与合法的Jabber网关通信中。
攻击示意图.JPG
图一 借助WIFI的攻击示意图
当客户端连接到恶意访问点后,该访问点会持续监控流量,直到检测到STARTTLS请求:
<stream:stream xmlns='jabber:client' xml:lang='enUS.UTF8'
xmlns:stream='506K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2@1K9r3g2J5P5q4)9J5k6h3A6S2j5X3u0W2M7W2)9J5k6h3!0J5k6#2)9J5c8Y4y4@1M7X3g2S2L8i4y4Q4x3U0M7`. from='server.tld' id='XXXXXXXXXXXXXXXXXX'
version='1.0'>
<stream:features><starttls xmlns='urn:ietf:params:xml:ns:xmpp
tls'><required/></starttls>
</stream:features>
正常情况下,该数据包会要求客户端使用TLS协议发送所有消息,但是攻击者可以通过实施中间人攻击捕获该消息,并避开SSL协商,然后客户端与该访问点的通信将全部以明文显示,且该行为在客户端不会触发任何警告。
利用该访问点,攻击者可以窃听与客户端的通信,获取敏感信息,包括用户的登录名和密码。
<?xml version='1.0' ?>
<stream:stream to='server.tld' xmlns='jabber:client'
xmlns:stream='ec9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2@1K9r3g2J5P5q4)9J5k6h3A6S2j5X3u0W2M7W2)9J5k6h3!0J5k6#2)9J5c8Y4y4@1M7X3g2S2L8i4y4Q4x3U0N6Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7Y4S2E0L8q4)9K6b7h3I4S2L8X3N6Q4x3@1c8Q4x3U0N6W2L8W2)9J5y4H3`.`. version='1.0'>
<stream:stream xmlns='jabber:client' xml:lang='enUS.UTF8'
xmlns:stream='15dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2@1K9r3g2J5P5q4)9J5k6h3A6S2j5X3u0W2M7W2)9J5k6h3!0J5k6#2)9J5c8Y4y4@1M7X3g2S2L8i4y4Q4x3U0M7`. from='server.tld'
32c7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4x3g2)9J5k6h3k6A6i4K6u0r3K9r3!0K6N6r3q4H3k6q4)9J5c8R3`.`.
3/4id='XXXXXXXXXXXXXXXXXXXXXXX' version='1.0'>
<stream:features>
<starttls xmlns='urn:ietf:params:xml:ns:xmpptls' />
</stream:features>
<stream:features>
<mechanisms xmlns='urn:ietf:params:xml:ns:xmppsasl'>
<mechanism>PLAIN</mechanism></mechanisms>
</stream:features>
<auth xmlns='urn:ietf:params:xml:ns:xmppsasl'
mechanism='PLAIN'>AGR1ZGVrcwBDaDB1Y3IwdXQzIQ==</auth>
[...]
缓解
此次Jabber客户端问题与2015年发生的众多针对SSL/TLS的降级攻击基本相同,思科已经发布了软件更新,但是当前针对受影响产品的版本仍没有可用的解决方案,保证终端用户不受该漏洞影响的唯一方法就是及时为软件打补丁,并及时更新软件版本。
新闻时间:2016-1-13
新闻正文:
思科发布官方公告称,其聊天客户端Jabbar中存在安全漏洞,易遭受中间人攻击。
该漏洞存在基于Windows平台的Jabbar中,未经授权的远程攻击者可利用该漏洞实施STARTTLS降级攻击。影响10.6.x、11.0.x和11.1.x版本。CVE编号为CVE-2015-6409,CNNVD编号为CNNVD-201512-597。
技术细节
当用户使用公共WIFI热点时,如果攻击者建立一个同用户使用的热点ESSID名称相同的伪造热点,就可以截获客户端与服务器端的流量,阻止STARTTLS请求的转发,将篡改的XMPP消息放入服务器与合法的Jabber网关通信中。
攻击示意图.JPG
图一 借助WIFI的攻击示意图
当客户端连接到恶意访问点后,该访问点会持续监控流量,直到检测到STARTTLS请求:
<stream:stream xmlns='jabber:client' xml:lang='enUS.UTF8'
xmlns:stream='506K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2@1K9r3g2J5P5q4)9J5k6h3A6S2j5X3u0W2M7W2)9J5k6h3!0J5k6#2)9J5c8Y4y4@1M7X3g2S2L8i4y4Q4x3U0M7`. from='server.tld' id='XXXXXXXXXXXXXXXXXX'
version='1.0'>
<stream:features><starttls xmlns='urn:ietf:params:xml:ns:xmpp
tls'><required/></starttls>
</stream:features>
正常情况下,该数据包会要求客户端使用TLS协议发送所有消息,但是攻击者可以通过实施中间人攻击捕获该消息,并避开SSL协商,然后客户端与该访问点的通信将全部以明文显示,且该行为在客户端不会触发任何警告。
利用该访问点,攻击者可以窃听与客户端的通信,获取敏感信息,包括用户的登录名和密码。
<?xml version='1.0' ?>
<stream:stream to='server.tld' xmlns='jabber:client'
xmlns:stream='ec9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2@1K9r3g2J5P5q4)9J5k6h3A6S2j5X3u0W2M7W2)9J5k6h3!0J5k6#2)9J5c8Y4y4@1M7X3g2S2L8i4y4Q4x3U0N6Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7Y4S2E0L8q4)9K6b7h3I4S2L8X3N6Q4x3@1c8Q4x3U0N6W2L8W2)9J5y4H3`.`. version='1.0'>
<stream:stream xmlns='jabber:client' xml:lang='enUS.UTF8'
xmlns:stream='15dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3g2@1K9r3g2J5P5q4)9J5k6h3A6S2j5X3u0W2M7W2)9J5k6h3!0J5k6#2)9J5c8Y4y4@1M7X3g2S2L8i4y4Q4x3U0M7`. from='server.tld'
32c7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4x3g2)9J5k6h3k6A6i4K6u0r3K9r3!0K6N6r3q4H3k6q4)9J5c8R3`.`.
3/4id='XXXXXXXXXXXXXXXXXXXXXXX' version='1.0'>
<stream:features>
<starttls xmlns='urn:ietf:params:xml:ns:xmpptls' />
</stream:features>
<stream:features>
<mechanisms xmlns='urn:ietf:params:xml:ns:xmppsasl'>
<mechanism>PLAIN</mechanism></mechanisms>
</stream:features>
<auth xmlns='urn:ietf:params:xml:ns:xmppsasl'
mechanism='PLAIN'>AGR1ZGVrcwBDaDB1Y3IwdXQzIQ==</auth>
[...]
缓解
此次Jabber客户端问题与2015年发生的众多针对SSL/TLS的降级攻击基本相同,思科已经发布了软件更新,但是当前针对受影响产品的版本仍没有可用的解决方案,保证终端用户不受该漏洞影响的唯一方法就是及时为软件打补丁,并及时更新软件版本。
|
|
|---|---|
