События

Эксперт: Уязвимость в API Symantec раскрывает данные сертификатов

Эксперт: Уязвимость в API Symantec раскрывает данные сертификатов

Как сообщает ИБ-эксперт Крис Бирн (Chris Byrne), уязвимость в API, используемом партнерами Symantec, позволяют злоумышленникам получать чужие цифровые сертификаты, включая закрытые ключи. Проблемы были обнаружены еще в 2015 году, однако Бирн согласился временно не сообщать о них общественности. По словам представителей Symantec, на исправление уязвимостей должно было уйти не менее двух лет.

Согласно публикации Бирна в Facebook, уязвимость в Symantec API, используемом торговыми посредниками компании, предоставляет несанкционированный доступ к данным чужих сертификатов. «Достаточно лишь кликнуть на присланную в письме ссылку, и вы можете получить, отозвать или заново выпустить сертификат», - пояснил исследователь.

По словам Бирна, технически подкованный пользователь быстро догадается, что, просто изменив в ссылке один параметр, он может получить доступ к данным чужих сертификатов и выполнять действия в чужих учетных записях. Сервер API не осуществляет аутентификацию пользователей, получающих доступ к данным сертификатов, поэтому злоумышленники могут автоматизировать атаку и массово получать сертификаты клиентов Symantec.

С помощью похищенных сертификатов хакеры могут осуществлять атаку «человек посередине», перехватывать трафик интернет-магазинов, отправлять поддельные вредоносные обновления с серверов и т.д.

Как пояснил Бирн, проблема затрагивает не только тех, кто приобрел сертификаты у посредников, но также тех, кто купил их непосредственно у Symantec. Однако в этом случае уязвим не API, а другая часть клиентского интерфейса Symantec.

Согласно официальному заявлению компании, ее инженерам не удалось воспроизвести описанную Бирном проблему. Каких-либо сообщений об эксплуатации уязвимости производитель также не получал.

Источник

Автор: Сергей Куприянов
28.03.2017 (11:59)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.