SSL.com’un etki alanı doğrulama sürecindeki kritik bir güvenlik açığı, yetkisiz tarafların Alibaba Cloud’s dahil olmak üzere yüksek profilli alanlar için hileli bir şekilde TLS sertifikaları almasına izin verdi. aliyun.comaraştırmacılar bu hafta açıkladılar.
Sertifika Otoritesi (CA) o zamandan beri, otomatik doğrulama sistemlerine olan güvenle ilgili endişeleri artırarak uygun olmayan 11 sertifikayı iptal etti.
Etki alanı doğrulaması nasıl kullanıldı
Mozilla Report’a göre, SSL.com’un sertifika vermeden önce bir alanın sahipliğini doğrulamak için tasarlanan Etki Alanı Kontrol Doğrulama (DCV) sistemi, “DNS TXT İletişim E -postası” yönteminde bir boşluk içeriyordu (BR 3.2.2.4.14). Saldırganlar sistemi şu şekilde kandırabilir:
.png
)
- Bir alt alan adı için bir DNS TXT kaydı oluşturma (örn.[random].test.dcv-ssspector.com) bir hedef etki alanından bir e-posta adresi (örneğin, user@aliyun.com).
- Alt alan için bir sertifika istemek, sağlanan adrese bir doğrulama e -postası tetiklemek.
- Yanlışlıkla işaretlenmiş doğrulamayı tamamlama aliyun.com (e -postanın alanı) doğrulandığı gibi.
Bu, saldırganların hedef alan adının kendisi için sertifika talep etmelerini sağlayarak uygun yetkilendirmeyi atlattı.
SSL.com Birden çok alan için iptal edilmiş sertifikalar aşağıdakiler dahil olmak üzere aşağıdakiler de dahil olmak üzere iptal edildi.
- aliyun.com (Alibaba Cloud’un Webmail ve Bulut Hizmeti)
- *.Medinet.ca (Kanada Sağlık Yazılım Sağlayıcısı)
- help.gurusoft.com.sg (Singapurlu tedarik zinciri teknoloji desteği)
- banners.betvictor.com (Betvictor kumar reklamları)
Bu sertifikalar kimlik avı sitelerini, HTTPS trafik müdahalesini veya meşru hizmetlerin taklit edilmesini sağlayabilir.
Hiçbir kötü amaçlı kullanım doğrulanmamış olsa da, istismar potansiyeli önemliydi.
Bir ön raporda, SSL.com’dan Rebecca Kelley kusuru kabul ederek onu doğrulama mantığının “yanlış bir şekilde uygulanmasına” bağladı.
Meydan okulu DCV yöntemi geçici olarak devre dışı bırakıldı ve etkilenen sertifikalar keşiften sonraki 24 saat içinde iptal edildi.
Anahtar Eylemler:
- İptal edilmiş sertifikalar: 11 Haziran 2024 ile Mart 2025 arasında yayınlanmıştır.
- Açıklama: 2 Mayıs 2025’e kadar beklenen tam olay raporu.
- Azaltma: Geliştirilmiş doğrulama kontrolleri ve manuel denetimler.
Eleştirmenler, olayın otomatik CA süreçlerinde sistemik risklerin altını çizdiğini savunuyor. Siber güvenlik analisti Mika Chen, “Tek bir doğrulama hatası web genelinde güveni tehlikeye atabilir” dedi.
- Üçüncü taraf e-posta sağlayıcıları: CAS, e -posta etki alanı sahipliğini hedef etki alanı kontrolüyle sınırlandırmadan kaçınmalıdır.
- Şeffaflık: SSL.com, saldırganların kusuru araştırmacının demosunun ötesinde kullanıp kullanmadığını açıklamamıştır.
- Uyanıklık: Kuruluşlar yetkisiz ihraçlar için sertifika şeffaflık günlüklerini izlemelidir.
SSL.com’un hızlı iptali derhal zararı sınırlar, ancak olay, sertifika ihraçında otomasyon ve güvenlik arasındaki kırılgan dengeyi vurgular.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!