El nuevo ataque de zarigüeya es una vulnerabilidad sofisticada de desincronización de la capa de aplicación de protocolo cruzado que compromete las comunicaciones basadas en TLS.
Este ataque explota las diferencias fundamentales entre las implementaciones de TLS implícitas y oportunistas, que afectan los protocolos críticos que incluyen HTTP, FTP, POP3, SMTP, LMTP y NNTP.
Al aprovechar el posicionamiento del hombre en el medio, los atacantes pueden inyectar mensajes inesperados en canales seguros, causando desincronización persistente entre clientes y servidores y romper los supuestos de integridad de las comunicaciones encriptadas.
Control de llave
1.
2. Los atacantes del hombre en el medio redirigen las conexiones entre los métodos TLS, lo que hace que los clientes reciban respuestas incorrectas del servidor de forma permanente.
3. Afecta HTTP, FTP, SMTP, POP3, LMTP, NNTP: habilita el secuestro de sesión, la manipulación de contenido y los ataques XSS.
4. Deshabilite TLS oportunista, use solo TLS implícitos. Prueba: Curl -h “Actualización: TLS/1.0” -i http://website.com
Explotación de ataque de zarigüeya TLS Autenticación
El ataque de zarigüeya representa una evolución sofisticada de vulnerabilidades a nivel de protocolo que se dirigen a los mecanismos de autenticación dentro de las implementaciones de TLS.
Este ataque de desincronización de protocolo cruzado explota específicamente los servicios que respaldan tanto TLS implícitos (puertos seguros dedicados) y TLS oportunistas (mecanismos de actualización de texto con crítica a la que se someten a cielo) simultáneamente.
El ataque se basa en las debilidades fundamentales identificadas en el ataque de Alpaca al introducir nuevos vectores de explotación que eluden las contramedidas existentes.
La vulnerabilidad afecta los protocolos donde existen diferencias sutiles entre las variantes TLS implícitas y oportunistas después de la finalización del apretón de manos.
Ataque de zarigüeya
Cuando un cliente intenta una conexión con un método, los atacantes pueden redirigir el tráfico para utilizar el método alternativo, creando desajustes críticos en las expectativas de protocolo.
Esta desincronización de la capa de aplicación persiste en todo el ciclo de vida de la conexión, lo que permite la manipulación sostenida de las comunicaciones de cliente cliente.
La ejecución técnica de la zarigüeya implica interceptar conexiones de cliente destinadas a los puntos finales TLS implícitos y redirigirlos a través de canales TLS oportunistas.
Para las implementaciones de HTTP, los atacantes interceptan el tráfico HTTPS destinado al puerto 443 y establecen conexiones de texto sin formato al puerto 80 con encabezados de actualización TLS. Se puede realizar una simple prueba de vulnerabilidad utilizando:
Si el servidor responde con “101 protocolos de conmutación”, admite la funcionalidad de actualización de RFC 2817 TLS y sigue siendo vulnerable.
El ataque manipula las cadenas ALPN (negociación de protocolo de la capa de aplicación) y explota las diferencias de tiempo en las máquinas de estado de protocolo.
Después de la finalización del apretón de manos de TLS, la transmisión simultánea de mensajes crea una desincronización persistente donde los clientes reciben respuestas incorrectas a sus solicitudes.
La vulnerabilidad afecta a todas las versiones TLS, incluida TLS 1.3, ya que explota la integración del protocolo en lugar de las implementaciones criptográficas.
Los servidores Apache se pueden configurar vulnerablemente utilizando la opción SSLEngine, lo que demuestra la aplicabilidad generalizada de este vector de ataque en diferentes implementaciones del servidor.
Mitigaciones
Oprossum permite múltiples clases de ataque en contextos HTTPS, incluida la confusión de recursos, la fijación de la sesión, la escalada de XSS reflejada y las vulnerabilidades específicas de la implementación como la fuga de cookies.
Escaneos en todo el internet identificado Más de 3 millones de anfitriones que apoyan TLS implícitos y oportunistas, aunque la explotación práctica sigue siendo limitada para los protocolos no HTTP.
La estrategia de mitigación más efectiva implica deshabilitar el apoyo oportunista de TLS por completo y la migración a implementaciones implícitas de TLS. Para los servidores HTTP, esto requiere deshabilitar la funcionalidad de actualización de RFC 2817.
Los proveedores, incluida la Fundación Apache (CVE-2025-49812), Cyrus IMAPD y otros, han comenzado a implementar parches y estrategias de deprecación para abordar esta vulnerabilidad sistemáticamente.
Las organizaciones deben evaluar inmediatamente sus configuraciones de TLS, deshabilitar TLS oportunistas cuando sea posible y priorizar las implementaciones implícitas de TLS para mantener la integridad segura de las comunicaciones.
Guía de precios de MSSP: cómo cortar el ruido y el costo oculto-> Obtener su guía gratuita
.webp?w=1600&resize=1600,900&ssl=1){kind=link}