Reklam
Security

NSA, joker karakter sertifikası riskleri konusunda uyarıyor, hafifletmeler sağlıyor

NSA, joker sertifika risklerine karşı azaltıcı önlemler sağlar

ABD Ulusal Güvenlik Ajansı (NSA), bir kuruluştaki birden çok sunucunun kimliğini doğrulamak için geniş kapsamlı sertifikaların kullanılmasından kaynaklanan tehlikelere karşı uyarıda bulunuyor.

Geçen hafta yayınlanan bir belgede ajans, joker karakter sertifikalarının kullanımıyla gelen risklere karşı hafifletmeler sağlıyor. Bunlar, çeşitli trafik yönlendirme saldırıları için kullanılabilecek yakın zamanda açıklanan bir ALPACA tekniğini içerir.

ALPACA ısırabilir

Ajans, Taşıma Katmanı Güvenliği (TLS) şifreleme protokolü aracılığıyla güvenilir, güvenli bir bağlantıya izin vermek için sunucu kimliğini doğrulayan joker karakter veya çok alanlı dijital sertifikaların oluşturduğu tehlikelere atıfta bulunuyor.

İki ay önceki bir sunumda araştırmacılar, farklı protokoller çalıştıran ancak uyumlu sertifikalara (örneğin joker karakter, çoklu etki alanı) sahip TLS sunucularının bir uygulama katmanı protokolü içerik karışıklığı saldırısı yoluyla istismar edilebileceğini gösterdi.

Tekniğin adını verdiler ALPAKA, belirli koşulları karşılayan kötü niyetli bir aktörün en azından çerezleri çalabileceğini veya siteler arası komut dosyası çalıştırma saldırıları gerçekleştirebileceğini belirterek, Uygulama Katmanı Protokolleri’nin Çapraz Protokol Saldırısına İzin Veren’in kısaltmasıdır.

Joker karakterli bir dijital sertifika, aynı etki alanında birden çok alt etki alanı ile kullanılabilir, böylece birden çok sunucuyu (örn. e-posta, FTP, uygulamalar) kapsayabilir, ancak çok etki alanı sertifikası tek bir IP adresinde birden çok etki alanı için kullanılır.

NS NSA diyor [PDF] “ALPACA, birçok biçim alabilen karmaşık bir sömürü teknikleri sınıfıdır” ve böyle bir saldırı için gerçekçi bir senaryonun aşağıdakileri gerektireceğini:

  • TLS kullanan bir hedef web uygulaması
  • Joker karakter sertifikalarının kapsamı çok geniş olduğunda, hedeflenen web uygulaması için geçerli olacak bir konu adıyla geçerli bir TLS sertifikası sunan başka bir hizmet/uygulama (genellikle bir web sunucusu değil)
  • kötü niyetli aktörün hedef web uygulamasına yönelik kurban ağ trafiğini ikinci hizmete yönlendirmesi için bir araç (muhtemelen Alan Adı Sistemi (DNS) zehirlenmesi veya ortadaki adam güvenliği yoluyla elde edilir)
  • ikinci hizmet tarafından kabul edilen ve isteğin en azından bir kısmının gönderene geri yansıtılmasıyla sonuçlanan bir HTTP isteği

Bu “nispeten olağandışı koşulları” karşılayan bir tehdit aktörü, en azından kimlik avı, su birikintisi, kötü amaçlı reklamcılık veya ortadaki adam (MitM) saldırıları gerçekleştirebilir.

ALPACA tekniğini kullanan bir saldırgan, kurbanın web tarayıcısının doğru sertifikayla imzalanmış kötü amaçlı bir hizmetten yansıyan yanıtlara güvenmesine ve bunları yürütmesine neden olabilir.

Bu, güvenlik açığı bulunan bir sunucu bağlamında oturum tanımlama bilgilerini, özel kullanıcı verilerini çalmaya ve rastgele kod yürütmeye kapı açar.

ALPACA tekniğini kullanarak güvenli bir web uygulamasından ödün vermek

  1. Kötü niyetli aktör, kullanıcıyı hazırlanmış bir URL’yi ziyaret etmeye teşvik eder (kimlik avı, kötü amaçlı reklam vb.)
  2. Kullanıcı, URL için app.example.com’a bir istek gönderir
  3. Birçok ağ işleme tekniğinden biri kullanılarak, kullanıcının isteği kötü niyetli aktör tarafından bunun yerine service.example.com’a yönlendirilir.
  4. HTTP olmayan service.example.com (örneğin, bir Dosya Aktarım Protokolü [FTP], Basit Posta Aktarım Protokolü [SMTP], veya başka bir web dışı sunucu), kötü niyetli içeriği sunucunun yanıtına yansıtan bir hataya neden olan HTTP isteğini işlemeye çalışır.
  5. Sunucunun yanıtı *.example.com sertifikası tarafından imzalanmıştır
  6. Kullanıcının tarayıcısı, isteğine yanıt alır. İstek app.example.com’a yapıldığından ve yanıtın kimliği *.example.com tarafından doğrulandığından, tarayıcı yanıta güvenir ve onu app.example.com bağlamında yürütür. Bu, kötü amaçlı komut dosyasının tarayıcı içindeki app.example.com için kullanıcı verilerine ve tanımlama bilgilerine erişmesini sağlar.

NSA ayrıca kuruluşlara joker sertifikaların “kapsamı dahilindeki herhangi bir sistemi temsil etmek için kullanılabildikleri” için bir güven mimarisinde oynadığı rolü hatırlatır.

Bu nedenle, bir joker sertifikanın özel anahtarının korunmasını sağlamalı ve bir saldırganın güvenliği düşük bir makineyi tehlikeye atarak bu anahtarı alması riskini önlemek için onu iyi bakımlı bir sunucuda tutmalıdırlar.

Aynı sertifika kapsamındaki güvensiz makineyi hackledikten sonra güvenli sunucuya atlama

Joker karakter sertifikası risklerini azaltma

NSA, kuruluşların joker karakter sertifikalarının sorumlu bir şekilde kullanıldığından ve kuruluş içindeki kapsamlarının iyi anlaşıldığından emin olmalarını önerir.

Şirketler, bu sertifikaların özel anahtarlarının nerede saklandığını belirlemeli ve sertifika kapsamındaki tüm uygulamaların gerektirdiği güvenlik seviyesini kullanmalıdır.

Sunucuların önünde bir uygulama ağ geçidi veya bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmak (HTTP olmayanlar da dahil), ajansın başka bir tavsiyesidir.

Hedef kullanıcıları kötü niyetli bir konuma getirebilecek DNS yeniden yönlendirmesini önlemek için şifreli DNS ve doğrulayan DNS Güvenlik Uzantıları (DNSSEC).

NSA ayrıca, mümkünse Uygulama Katmanı Protokol Müzakeresinin (ALPN) etkinleştirilmesini ve tarayıcıların en son sürümlerine güncel tutulmasını önerir.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün