Агентство национальной безопасности США выпустило бюллетень безопасности, предупреждающий компании не использовать wildcard-сертификаты TLS из-за их небезопасности и TLS-атаки ALPACA.
Напомню, что wildcard-сертификаты представляют собой сертификаты TLS, которые предоставляются центрами сертификации и могут быть использованы одновременно и для домена и для всех его поддоменов (*.example.com). Много лет компании использовали такие сертификаты для снижения затрат и из-за того, что ими легче управлять, поскольку администраторы могут использовать один и тот же сертификат на всех серверах. Увы, у этого удобства есть своя цена, ведь если злоумышленник взламывает сервер в таком случае, он компрометирует всю компанию в целом.
«Злоумышленник, получивший контроль над приватным ключом, связанным wildcard-сертификатом, сможет выдать себя за любой из представленных сайтов и получить доступ к действительным учетным данным пользователя и защищенной информации», — предупреждают в АНБ, призывая компании отказаться от wildcard-сертификатов в пользу индивидуальных.
Также АНБ предупреждает о новой атаке ALPACA (Application Layer Protocol Content Confusion Attack), о которой ИБ-исследователи рассказали минувшим летом. Эта атака тоже работает благодаря использованию wildcard-сертификатов.
По сути, ALPACA позволяет злоумышленнику вводить в заблуждение веб-серверы, чтобы те отвечали на зашифрованные запросы HTTPS через незашифрованные протоколы, включая FTP, IMAP, POP3 и другие. По словам экспертов, придумавших ALPACA, успешная атака «позволит извлечь сессионные cookie, другие личные данные пользователя или выполнить произвольный JavaScript в контексте уязвимого веб-сервера, минуя TLS и защиту веб-приложений».
Подробное описание ALPACA было опубликовано в июне текущего года, но тогда проблема не рассматривалась всерьез, ведь для реализации атаки нужно, чтобы злоумышленник мог перехватить трафик жертвы, что существенно сокращает риски. Впрочем, летом исследователи все равно предупреждали, что перед ALPACA уязвимы более 119 000 веб-серверов.
Теперь АНБ призывает организации отнестись к ALPACA со всей серьезностью и проверить, уязвимы ли их серверы (особенно если организации имеют дело с конфиденциальной информацией или входят в правительственную сеть США). АНБ рекомендует несколько способов защиты, в том числе просит организации включить ALPN (Application-Layer Protocol Negotiation) — расширение TLS, которое не позволяет серверам отвечать на запросы посредством запрещенных администратором протоколов (FTP, IMAP и прочие).
Источник: xakep