maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/generic-methodologies-and-resources/pentesting-network/webrtc-dos.md

38 lines
3.2 KiB
Markdown
Raw Blame History

# WebRTC DoS
{{#include ../../banners/hacktricks-training.md}}
**Ten problem został opisany w tym wpisie na blogu:** [**https://www.rtcsec.com/article/novel-dos-vulnerability-affecting-webrtc-media-servers/**](https://www.rtcsec.com/article/novel-dos-vulnerability-affecting-webrtc-media-servers/)
Opisana podatność w serwerach mediów WebRTC wynika z **warunków wyścigu** podczas inicjalizacji sesji medialnych, szczególnie pomiędzy **weryfikacją zgody na media ICE** a **inicjacją ruchu DTLS**. Oto szczegółowy opis:
### Pochodzenie podatności
1. **Alokacja portów UDP:** Gdy użytkownik inicjuje połączenie WebRTC, serwer mediów alokuje porty UDP do obsługi strumieni mediów, a adres IP i port są komunikowane za pomocą sygnalizacji.
2. **Procesy ICE i STUN:** Przeglądarka użytkownika używa ICE do weryfikacji zgody na media, wykorzystując STUN do określenia ścieżki połączenia do serwera mediów.
3. **Sesja DTLS:** Po pomyślnej weryfikacji STUN rozpoczyna się sesja DTLS w celu ustanowienia kluczy głównych SRTP, przechodząc do SRTP dla strumienia mediów.
### Mechanizm eksploatacji
- **Eksploatacja warunku wyścigu:** Napastnik może wykorzystać warunek wyścigu, wysyłając wiadomość DTLS ClientHello przed legalnym użytkownikiem, potencjalnie używając nieprawidłowego zestawu szyfrów, takiego jak `TLS_NULL_WITH_NULL_NULL`. Powoduje to błąd DTLS na serwerze, uniemożliwiając ustanowienie sesji SRTP.
### Proces ataku
- **Skanowanie portów:** Napastnik musi zgadnąć, które porty UDP obsługują przychodzące sesje medialne, wysyłając wiadomości ClientHello z zestawem szyfrów null do tych portów, aby wywołać podatność.
- **Diagram ataku:** Sekwencja obejmuje wiele wiadomości ClientHello wysyłanych przez napastnika do serwera, przeplatanych z legalną sygnalizacją i wiadomościami DTLS, co prowadzi do niepowodzenia w uzgadnianiu z powodu błędnego zestawu szyfrów.
### Testowanie i łagodzenie
- **Bezpieczne testowanie:** Używając narzędzi takich jak Scapy, napastnicy odtwarzają wiadomości DTLS ClientHello, celując w konkretne porty mediów. Do etycznego testowania wprowadzono modyfikacje w Chromium (np. `JsepTransport::AddRemoteCandidates`), aby bezpiecznie naśladować zachowanie ofiary.
- **Środki łagodzące:** Rozwiązania obejmują odrzucanie pakietów z niezweryfikowanych adresów, co zostało wdrożone w nowszych wersjach bibliotek, takich jak libnice. Główne rozwiązanie podkreśla zaufanie do procesu weryfikacji ICE i przetwarzanie tylko pakietów z zweryfikowanymi kombinacjami IP i portów.
### Scenariusze niepodatne
- **Konfiguracje serwera DTLS:** Przypadki, w których przeglądarka działa jako serwer DTLS lub gdy serwer mediów nie używa portów ephemerowych do sesji medialnych, nie są podatne na tę podatność.
### Wnioski
Ta podatność podkreśla delikatną równowagę w procesach inicjalizacji sesji medialnych oraz potrzebę precyzyjnego timingu i mechanizmów weryfikacji, aby zapobiec eksploatacji. Programiści są zachęcani do wdrażania zalecanych poprawek bezpieczeństwa i zapewnienia solidnych procesów weryfikacji, aby złagodzić takie podatności.
{{#include ../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink