image

Aanvaller had toegang tot privésleutel Certificate Transparency-log DigiCert

donderdag 28 mei 2020, 17:32 door Redactie, 4 reacties

Een aanvaller heeft begin deze maand toegang gekregen tot de privésleutel van een Certificate Transparency-log van certificaatautoriteit DigiCert. Het bedrijf had een beschikbare beveiligingsupdate voor het Salt-framework niet geïnstalleerd, waardoor de aanvaller op 4 mei toegang tot de server kon krijgen. De update was sinds 29 april beschikbaar.

Certificate Transparency is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het certificaatsysteem te verhelpen en bijvoorbeeld onterecht uitgegeven certificaten in bijna real-time te detecteren. Bij Certificate Transparency verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar Certificate Transparency-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van certificaten bijhoudt.

Elk Certificate Transparency-log beschikt over een eigen privésleutel voor het signeren van de huidige geregistreerde certificaten, wat misbruik en manipulatie moet voorkomen. Op 4 mei werd één van de systemen gecompromitteerd die DigiCert gebruikt voor Certificate Transparency-logs. De aanvaller, die hiervoor van een bekend lek in het Salt-framework gebruikmaakte, kreeg daarbij ook toegang tot de privésleutel van het betreffende Certificate Transparency-log.

Volgens DigiCert had de aanvaller dit niet door. Die draaide namelijk "andere diensten" op het gecompromitteerde systeem, aldus een verklaring van de certificaatautoriteit. Een bericht op Hacker News laat weten dat het om een cryptominer ging die de rekenkracht van de machine gebruikte voor het delven van cryptovaluta. De andere Certificate Transparency-logs van DigiCert zouden niet zijn gecompromitteerd en het incident had verder geen grote gevolgen.

Salt, ook wel SaltStack genoemd, is een op Python gebaseerde, opensourceconfiguratiebeheertool. Op 29 april verscheen er een beveiligingsupdate voor twee kwetsbaarheden in Salt waardoor een aanvaller op afstand en zonder inloggegevens volledige controle over kwetsbare installaties kan krijgen. Eerder wisten aanvallers via het Salt-lek ook toegang te krijgen tot servers van mobiel besturingssysteem LineageOS en zoekfunctieprovider Algolia.

Reacties (4)
28-05-2020, 20:23 door Anoniem
Waarom hangen dat soort “beheer toegangs systemen” blijktbaar onbeheerd aan het internet?
28-05-2020, 20:47 door Anoniem
Ik snap niet wat die transparency log doet. Als de nsa via de amazon cloud gewoon een letsencrypt certificate voor een willekeurige domeinnaam genereerd zal dat toch echt niet in de transparency log komen.

Dus welk probleem wordt hier opgelost?
29-05-2020, 11:24 door Anoniem
Door Anoniem: Ik snap niet wat die transparency log doet. Als de nsa via de amazon cloud gewoon een letsencrypt certificate voor een willekeurige domeinnaam genereerd zal dat toch echt niet in de transparency log komen.

Dus welk probleem wordt hier opgelost?

Doordat het niet in het transparancy log komt is te controleren dat dit certificaat niet afkomstig is van een officiele certificaat-instantie. Dit is exact waar die logs voor zijn bedoeld.
29-05-2020, 21:56 door Anoniem
Door Anoniem:
Door Anoniem: Ik snap niet wat die transparency log doet. Als de nsa via de amazon cloud gewoon een letsencrypt certificate voor een willekeurige domeinnaam genereerd zal dat toch echt niet in de transparency log komen.

Dus welk probleem wordt hier opgelost?

Doordat het niet in het transparancy log komt is te controleren dat dit certificaat niet afkomstig is van een officiele certificaat-instantie. Dit is exact waar die logs voor zijn bedoeld.

niet dus:
Google encourages all CAs to write the certificates they issue to publicly verifiable, append-only, tamper-proof logs. In the future, Chrome and other browsers may decide not to accept certificates that have not been written to such logs.

Leek me ook al sterk, zie al dat elke verbinding geverifieerd wordt met die log, wordt lekker traag dan tls.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.