Позиция «человек посередине» позволяет злоумышленнику воспользоваться возможностью отката STARTTLS при хендшейке между Jabber-клиентом Cisco и сервером с целью перехвата коммуникаций. Cisco предупредила пользователей об уязвимости и готовит патчи для клиентов, работающих на Windows, iPhone, iPad и Android.

Данную брешь обнаружили исследователи из Synacktiv Рено Дюбургэ (Renaud Dubourguais) и Себастьян Дудек (Sébastien Dudek), отчет был направлен в Cisco в прошлом месяце. Вчера Synacktiv раскрыла некоторые детали этой уязвимости и опубликовала PoC-эксплойт.

Jabber-клиент от Cisco используется в основном как инструмент для совместной работы и обмена сообщениями между пользователями специализированных продуктов компании, таких как Presence. Это клиентское приложение позиционируется как средство защищенной связи и не требует VPN-соединений.

В своей публикации Дюбургэ и Дудек отмечают, что, заняв позицию «человек посередине», атакующий сможет просматривать сообщения, отсылаемые на шлюз Jabber (обычно это Cisco Expressway-E).

Клиент Jabber использует протокол XMPP и поддерживает стандарт STARTTLS (расширение SMTP), позволяющий создать защищенный канал связи. По свидетельству исследователей, клиентские программы производства Cisco не проверяют, диктует ли сервер использование STARTTLS. Этим может воспользоваться злоумышленник, произведя откат до более слабого шифра, что приведет к раскрытию сообщений, которые по идее должны быть зашифрованы.

«Данный пакет уведомляет клиент о том, что с этого момента весь обмен сообщениями должен осуществляться в рамках TLS-сессии, — пишут Дюбургэ и Дудек. — Однако атакующий в положении «человек посередине» может перехватить это сообщение и вмешаться в переговоры, настояв на сессии SSL. При этом клиент будет исключен из процесса согласования и продолжит обмен открытым текстом. Такая атака не вызовет никаких предупреждений на стороне клиента, а атакующий получит возможность отслеживать коммуникации и вылавливать конфиденциальные данные, в том числе логин и пароль жертвы, необходимые для аутентификации».

Согласно Cisco, данной уязвимости подвержены клиенты версий 9.x, 10.6.x, 11.0.x и 11.1.x, на какой бы платформе они ни работали. Сведений об атаках itw у разработчика пока нет. По мнению Дюбургэ и Дудека, атака с использованием этой бреши наиболее вероятна, когда жертва использует Jabber-клиент Cisco в публичной точке доступа Wi-Fi.

«Данная уязвимость существует из-за того, что клиент устанавливает соединение по протоколу XMPP, не проверяя наличие TLS-защиты, — поясняет Cisco в бюллетене. — Злоумышленник может использовать эту уязвимость, проведя атаку «человек посередине», чтобы вмешаться в XMPP-соединение и сорвать согласование TLS. Успешный эксплойт позволит атакующему принудить клиент установить XMPP-соединение, не использующее шифрование».

Категории: Кибероборона, Уязвимости