Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Новая уязвимость Opossum ставит под угрозу надёжность соединений, использующих протокол TLS

11/07/25

hack115-Jul-11-2025-10-33-12-0785-AM

Эта атака позволяет злоумышленнику внедрять несанкционированные сообщения в уже активные TLS-сессии, обходя при этом базовые гарантии целостности зашифрованного трафика.

Уязвимость затрагивает популярные протоколы прикладного уровня, включая HTTP, FTP, POP3, SMTP, LMTP и NNTP. Все они поддерживают два способа подключения — через выделенные порты с «неявным» TLS и через механизм обновления сессии, известный как «оппортунистический» TLS. Разница в реализации этих двух подходов стала главной точкой входа для атаки.

Суть атаки заключается в искусственном создании рассинхронизации между клиентом и сервером, поясняет Securitylab. При подключении пользователя, например, к порту 443 (стандартный порт HTTPS), злоумышленник перенаправляет запрос на порт 80, где начинается соединение в незашифрованном виде. Затем он вручную инициирует переход на TLS, добавляя поддельные заголовки «Upgrade». Одновременно он ретранслирует оригинальный TLS-рукопожатие клиента к серверу, соединяя таким образом две параллельные сессии.

После завершения рукопожатий и клиент, и сервер считают, что установили надёжный зашифрованный канал. Но на деле их представления о структуре сообщений больше не совпадают. Это позволяет злоумышленнику внедрять, задерживать или изменять передаваемые данные. Например, пользователь может запросить страницу с названием «cat», а получить подменённый ответ «dog», в то время как настоящий ответ сервера останется скрытым.

Один из опасных аспектов этой атаки — отсутствие необходимости вскрывать шифрование TLS. Манипуляции происходят на прикладном уровне, что делает их незаметными для большинства защитных систем. И хотя атака Opossum использует те же концепции, что и более ранняя ALPACA, она способна обойти уже внедрённые защитные меры и обнаруживает новые уязвимости в реализации протоколов.

Отключение поддержки оппортунистического TLS не даёт полной защиты. Многие устаревшие приложения и почтовые серверы до сих пор зависят от механизма TLS-апгрейда ради совместимости. Поэтому специалисты призывают к более жёсткой изоляции протоколов: сервисы, использующие разные способы TLS, не должны быть взаимозаменяемыми. Кроме того, необходимо внедрить надёжные механизмы привязки TLS-сессии к конкретному порту и протоколу.

Дополнительной мерой защиты может стать внедрение инструментов мониторинга, отслеживающих появление нестандартных заголовков Upgrade в сессиях, которые по умолчанию должны быть защищены.

Темы:УгрозысерверыTLS
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...