主流混淆库uTLS中出现高危指纹漏洞 利用该漏洞可轻易识别是否为代理流量

网络安全研究频道 ACGDaily 日前向蓝点网披露开源主流混淆库 uTLS 中存在的高危安全漏洞，该漏洞此前已经上报给 uTLS 项目，在漏洞详情披露时项目开发团队也已经发布新版本封堵该漏洞。

uTLS 广泛存在于各种需要进行混淆数据包的软件，uTLS v1.8.2 版已经修复该漏洞，接下来其他使用 uTLS 混淆库的软件也需要及时更新进行适配，用户则需要将软件升级到最新版本。



漏洞核心在于消失的填充数据包：

为对抗网络设备对特定长度数据包的僵化识别问题，现代浏览器例如 Google Chrome 等会在进行 TLS 握手时严格遵循物理规则，这个规则主要是填充数据包。

这个规则或机制的作用是，如果浏览器发送的 ClientHello 数据包长度小于 512 字节，浏览器会自动添加冗余数据 (Padding) 将数据包强行撑大到至少 512 字节。

研究人员发现 uTLS 在模拟 Chrome 120 指纹时遗漏这个关键步骤，这意味着 uTLS 会发送出在真实 Chrome 环境下绝对不可能存在的、小于 512 字节的小数据包。

利用这个安全缺陷，需要进行流量审查或者防火墙识别等功能时，只需要测量数据包的物理报文长度就可以判定这是完全伪造的 Chrome 指纹，也就是可以识别出来流量异常可能是基于代理的流量。

叠加效应可以导致 100% 检出代理流量：

根据披露的实验数据，这个漏洞的威胁不仅在于其本身，更在于这个可以与此前的 ECH 加密客户端问候 BUG 的叠加效应。

简单来说基于域名请求的代理流量识别率为 62.5%，基于 IP 地址的代理流量识别率为 75%，而实际使用环境中用户发出的 TCP 连接数极其庞大，在持续的大样本检测下，域名或 IP 地址被识别为代理的概率几乎为 100%。

漏洞跨时间维度影响多个 Chrome 主流版本：

Chrome 120 指纹：影响 2023 年 12 月到 2026 年 1 月

Chrome 默认配置：影响 2023 年 12 月到 2025 年 5 月

这意味着在过去两年多内大多数使用 Chrome 默认指纹的用户，如果使用代理工具或代理流量，那么这在流量识别系统面前几乎是透明的，因为识别成功率基本是 100%。

研究人员的建议：

立即更新客户端软件及其内核，确保集成的 uTLS 版本已经升级到 v1.8.2 或更高版本；

切换指纹策略：在没有完成更新前，建议暂停使用 Chrome 指纹功能。

避风港原则：研究人员建议优先使用 Firefox 指纹进行模拟，由于底层协议实现方式存在差异，目前针对 Firefox 的特征识别还不成熟。