Специалисты по кибербезопасности выявили критическую уязвимость в системе проверки доменов удостоверяющего центра SSL.com. Обнаруженный дефект позволял злоумышленникам получать действительные TLS-сертификаты для доменов, которыми они не владели, что создавало серьезную угрозу безопасности в интернете.
Механизм эксплуатации уязвимости
Ошибка была обнаружена в процессе Domain Control Validation (DCV) — процедуре проверки прав на владение доменом. При стандартной процедуре владелец домена создает специальную DNS TXT-запись с указанием контактного email-адреса. После этого SSL.com отправляет проверочный код на указанный адрес для подтверждения контроля над доменом.
Уязвимость заключалась в том, что система ошибочно идентифицировала домен из email-адреса как подтвержденный, независимо от того, какой домен фактически проверялся. Например, при использовании адреса [email protected] злоумышленник мог получить сертификат для домена example.com, не имея к нему никакого отношения.
Масштаб проблемы и последствия
В результате инцидента SSL.com был вынужден отозвать 11 сертификатов, выданных с использованием уязвимого метода проверки. Среди затронутых доменов оказались ресурсы крупных организаций, включая:
— Домены Alibaba (aliyun.com)
— Медицинский сервис medinet.ca
— Платформа онлайн-гемблинга betvictor.com
— Несколько корпоративных доменов
Потенциальные угрозы безопасности
Наличие действительного TLS-сертификата для чужого домена открывает широкие возможности для проведения кибератак. Злоумышленники могли использовать полученные сертификаты для:
— Создания убедительных фишинговых сайтов
— Осуществления атак типа man-in-the-middle
— Расшифровки перехваченного HTTPS-трафика
— Компрометации защищенных соединений между сайтами и пользователями
SSL.com оперативно отреагировал на обнаруженную проблему, отключив уязвимый метод проверки доменов. Компания подтвердила инцидент и пообещала представить детальный отчет о произошедшем. Этот случай подчеркивает важность регулярного аудита систем безопасности и демонстрирует, как даже небольшая ошибка в процессе валидации может создать серьезную угрозу для всей инфраструктуры безопасности интернета.