В SSL.com обнаружена серьезная уязвимость системы проверки доменов

CyberSecureFox 🦊

Специалисты по кибербезопасности выявили критическую уязвимость в системе проверки доменов удостоверяющего центра SSL.com. Обнаруженный дефект позволял злоумышленникам получать действительные TLS-сертификаты для доменов, которыми они не владели, что создавало серьезную угрозу безопасности в интернете.

Механизм эксплуатации уязвимости

Ошибка была обнаружена в процессе Domain Control Validation (DCV) — процедуре проверки прав на владение доменом. При стандартной процедуре владелец домена создает специальную DNS TXT-запись с указанием контактного email-адреса. После этого SSL.com отправляет проверочный код на указанный адрес для подтверждения контроля над доменом.

Уязвимость заключалась в том, что система ошибочно идентифицировала домен из email-адреса как подтвержденный, независимо от того, какой домен фактически проверялся. Например, при использовании адреса [email protected] злоумышленник мог получить сертификат для домена example.com, не имея к нему никакого отношения.

Масштаб проблемы и последствия

В результате инцидента SSL.com был вынужден отозвать 11 сертификатов, выданных с использованием уязвимого метода проверки. Среди затронутых доменов оказались ресурсы крупных организаций, включая:

— Домены Alibaba (aliyun.com)
— Медицинский сервис medinet.ca
— Платформа онлайн-гемблинга betvictor.com
— Несколько корпоративных доменов

Потенциальные угрозы безопасности

Наличие действительного TLS-сертификата для чужого домена открывает широкие возможности для проведения кибератак. Злоумышленники могли использовать полученные сертификаты для:

— Создания убедительных фишинговых сайтов
— Осуществления атак типа man-in-the-middle
— Расшифровки перехваченного HTTPS-трафика
— Компрометации защищенных соединений между сайтами и пользователями

SSL.com оперативно отреагировал на обнаруженную проблему, отключив уязвимый метод проверки доменов. Компания подтвердила инцидент и пообещала представить детальный отчет о произошедшем. Этот случай подчеркивает важность регулярного аудита систем безопасности и демонстрирует, как даже небольшая ошибка в процессе валидации может создать серьезную угрозу для всей инфраструктуры безопасности интернета.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.