АНБ предупредило об атаках ALPACA с использованием подстановочных TLS-сертификатов

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

11 октября 2021 года

Wikinews-logo-ru.svg

Агентство национальной безопасности США предупредило организации и компании о новых TLS-атаках под названием Application Layer Protocol Content Confusion Attack (ALPACA). АНБ призвало организации следовать техническим рекомендациям и защищать серверы от сценариев, когда злоумышленники могут получить доступ и расшифровать зашифрованный web-трафик.

АНБ особо подчеркнуло использование TLS-сертификатов с подстановочными знаками, о чем многие исследователи безопасности также предупреждали на протяжении многих лет. Подстановочный сертификат — цифровой TLS-сертификат, полученный компаниями из центров сертификации, которые позволяют владельцу применять его к домену и всем его поддоменам одновременно (*.example.com).

На протяжении многих лет компании использовали сертификаты с подстановочными знаками в целях снижения затрат и удобства управления, поскольку администраторы могут применять один и тот же сертификат на всех серверах вместо управления разными сертификатами для каждого поддомена.

Однако такая простота использования также подвергает риску, поскольку злоумышленнику достаточно взломать сервер и таким образом скомпрометировать всю сеть компании.

«Злоумышленник, получивший контроль над закрытым ключом, связанным с подстановочным сертификатом, получает возможность выдавать себя за любой из представленных сайтов и получить доступ к действительным учетным данным пользователя и защищенной информации», — сообщили в АНБ.

В сообщении АНБ содержится предупреждение о новой атаке ALPACA, зафиксированной летом нынешнего года. Атака позволяет злоумышленнику сбить с толку web-серверы с несколькими запущенными протоколами и заставить их отметить на зашифрованные HTTPS-запросы через незашифрованные протоколы, такие как FTP, электронная почта (IMAP, POP3) и другие.

Успешная атака «позволяет похитить cookie-файлы сеанса и другие личные данные пользователя или выполнить произвольный JavaScript-код в контексте уязвимого web-сервера, минуя TLS и безопасность web-приложений».

По словам экспертов, более 119 тыс. web-серверов были уязвимы к атакам ALPACA. АНБ просит организации включить Application-Layer Protocol Negotiation (ALPN), которое является расширением TLS и не позволяет серверам отвечать на запросы через запрещенные протоколы (такие как FTP, IMAP и т. д.).

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.