開源混淆庫 uTLS 存在高風險指紋漏洞,流量辨識系統利用漏洞幾乎可以百分百發現代理流量及其使用者。這個漏洞的缺陷主要是填充機制,該機制的實作缺陷會讓使用代理流量的使用者形同透明,建議使用者立即更新軟體 / 用戶端核心。
網路安全研究頻道 ACGDaily 日前向藍點網披露開源主流混淆庫 uTLS 中存在的高危險安全漏洞,該漏洞先前已上報給 uTLS 項目,在漏洞詳情披露時專案開發團隊也已經發布新版本封鎖該漏洞。
uTLS 廣泛存在於各種需要進行混淆資料包的軟體,uTLS v1.8.2 版已修復該漏洞,接下來其他使用 uTLS 混淆庫的軟體也需要及時更新進行適配,用戶則需要將軟體升級到最新版本。
漏洞核心在於消失的填充資料包:
為對抗網路設備對特定長度資料包的僵化識別問題,現代瀏覽器例如 Google Chrome 等會在進行 TLS 握手時嚴格遵循實體規則,這個規則主要是填充資料包。
這個規則或機制的作用是,如果瀏覽器發送的 ClientHello 資料包長度小於 512 位元組,瀏覽器會自動添加冗餘資料 (Padding) 將資料包強行撐大到至少 512 位元組。
研究人員發現 uTLS 在模擬 Chrome 120 指紋時遺漏這個關鍵步驟,這意味著 uTLS 會發送出在真實 Chrome 環境下絕對不可能存在的、小於 512 位元組的小資料包。
利用這個安全缺陷,需要進行流量審查或防火牆辨識等功能時,只需要測量封包的實體封包長度就可以判定這是完全偽造的 Chrome 指紋,也就是可以辨識出流量異常可能是基於代理的流量。
疊加效應可以導致 100% 檢出代理流量:
根據揭露的實驗數據,這個漏洞的威脅不僅在於其本身,更在於這個可以與先前的 ECH 加密客戶端問候 BUG 的疊加效應。
簡單來說基於網域名稱請求的代理流量識別率為 62.5%,基於 IP 位址的代理流量識別率為 75%,而實際使用環境中使用者發出的 TCP 連線數極為龐大,在持續的大樣本偵測下,網域名稱或 IP 位址被辨識為代理的機率幾乎為 100%。
漏洞跨時間維度影響多個 Chrome 主流版本:
Chrome 120 指紋:影響 2023 年 12 月到 2026 年 1 月
Chrome 預設設定:影響 2023 年 12 月到 2025 年 5 月
這意味著在過去兩年多內大多數使用 Chrome 預設指紋的用戶,如果使用代理工具或代理流量,那麼這在流量識別系統面前幾乎是透明的,因為識別成功率基本上是 100%。
研究者的建議:
立即更新客戶端軟體及其內核,確保整合的 uTLS 版本已升級至 v1.8.2 或更高版本;
切換指紋策略:在沒有完成更新前,建議暫停使用 Chrome 指紋功能。
避風港原則:研究人員建議優先使用 Firefox 指紋進行模擬,由於底層協議實現方式存在差異,目前針對 Firefox 的特徵識別還不成熟。
