SSL信息
安全研究人员已经披露了Symantec证书代理商用来提供和管理Symantec SSL证书的流程和第三方API中的关键问题。
Cloud Harmonics信息安全顾问Chris Byrne发现的缺陷可能允许未经身份验证的攻击者检索其他人的SSL证书,包括公钥和私钥,以及重颁或撤销这些证书。即使没有撤销和重新颁发证书,攻击者也可以使用被盗的SSL证书对安全连接进行“中间人”攻击,欺骗用户相信他们在合法的网站,实际上SSL流量被秘密篡改与截获。
Byrne在周末发布的Facebook发布文章中写道:“您只需单击[一个]电子邮件中发送的链接即可获取证书,撤销证书并重新发布证书。”
赛门铁克2015年时就知晓这一漏洞
Byrne表示,他在2015年首次发现有关赛门铁克证书的问题,并同意“限制不泄露”,因为赛门铁克表示,该公司将需要近两年的时间才能解决问题。
“赛门铁克承诺找到并更换可能受到影响的所有证书,然后更换它们,他们将在六个月内对每个证书进行认证,并在每个认证期的两年内完成”,Byrne 说过。
事实上,研究人员直到上周才透露任何细节。而直到Google发现与该公司及其4家第三方证券经销商有关的几个问题后,谷歌才透露其计划,逐渐不信任赛门铁克颁发的证书。
Byrne表示:”鉴于Google在这方面的经验和行动,似乎Symantec并未解决这些问题。“但Byrne无法确认他发现的漏洞与Google工程师上周公布的完全相同。
根据Byrne的说法,Symantec向其第三方转销商提供的证书请求和交付API接受基于URI的UID,“无需正确的身份验证,或在某些情况下接受任何身份验证“。
由于API服务器在访问证书信息之前没有对用户进行身份验证,任何潜在的技术精湛的客户都可以轻松地拦截包含API生成的链接的电子邮件,或者使用自己的UID并修改其参数之一。
最终,这将使恶意攻击者能够访问其他赛门铁克客户的信息,识别高价值目标,并执行自动化攻击。
获得对另一个用户的SSL证书的完全控制
使用相同的API漏洞,攻击者甚至可以完全控制另一个客户的证书,其中包括获取公钥和私钥,撤销证书或使用新的密码重新发行证书。目前,研究人员和公司都没有发现任何证据来证明这种情况,但是在考虑披露时,Byrne的可能性就足够了。
Byrne补充说:“对于想要攻击的特定组织或个人来说,妥协DNS是微不足道的,那么他们可以假装是这个人的银行,信用卡公司,雇主,任何人。”
“也许最糟糕的妥协是为整个公司欺骗补丁和更新服务器,然后该公司的每台机器都可能同时受到威胁。”
据悉,赛门铁克已针对此漏洞修补了部分问题,但还未对此事做出任何回应。该公司在今日针对谷歌的发难曾发过两篇官微。是否会就这次的事件进行澄清,尚不得而知。
更新:截至3月29日,赛门铁克对于该API漏洞的回应如下:
我们研究了Chris Byrne的报告,但并不能重现报告中的问题。我们欢迎来自2015年的原始研究和新的研究证明这项漏洞。此外,我们并没遇见过此漏洞出现在现实场景中,但可以肯定的是,没有任何私钥被访问过,因为在技术上不可行。