Xakep #305. Многошаговые SQL-инъекции
Независимый исследователь Крис Бирн (Chris Byrne) опубликовал на своей странице в Facebook любопытную запись. Бирн утверждает, что еще в 2015 году он обнаружил кучу уязвимостей в API, которым пользуются партнеры компании Symantec. Якобы баги позволяют атакующему манипулировать чужими сертификатами и приватными ключами. Исследователь рассказал, что в 2015 году он заключил с разработчиками Symantec соглашение: Бирн понимал, что на исправление всех проблем может уйти пара лет, и согласился не сообщать о багах публично, дав разработчикам возможность и время для спокойного устранения уязвимостей. При этом исследователь пишет, что с тех пор специалисты компании действительно исправили часть уязвимостей, но далеко не все.
«Я согласился на ограниченное неразглашение до тех пор, пока не почувствую, что назрела критическая необходимость, или пока неразглашение не стало неэтичным и безответственным. К примеру, если бы вдруг возникла угроза национальной безопасности, или если бы я обнаружил компрометацию клиента и рост активности злоумышленников, связанной с этой компрометацией», — объясняет Бирн.
Хотя угроза национальной безопасности не возникла, на этой неделе инженеры компании Google обвинили Symantec в халатности и выдаче как минимум 30 000 нелегитимных сертификатов. Хотя представители Symantec отрицают эти обвинения, разработчики Google Chrome уже «вводят санкции» против Symantec, отзывая Extended Validation статус для всех сертификатов компании и значительно сокращая срок их действия. Именно этот инцидент заставил Бирна передумать и во всеуслышание заявить о проблемах, найденных в 2015 году.
Исследователь не обнародовал глубоких технических деталей, но сообщил, что в теории злоумышленники могут эксплуатировать баги в Symantec API, которым пользуются партнеры-реселлеры, и получить доступ информации о чужих сертификатах. «Все, что нужно – кликнуть по ссылке в письме, и вы сможете получить, отозвать или перевыпустить сертификат», — пишет Бирн.
По его словам, достаточно модифицировать лишь один параметр в ссылке, приведенной в таком мошенническом письме, чтобы получить информацию о чужом аккаунте или совершить какие-то действия. Дело в том, что API-серверы зачастую не требуют вообще никакой аутентификации, что позволяет организовывать даже массовые и автоматизированные атаки.
Также Бирн утверждает, что в опасности находятся даже те клиенты, которые приобрели сертификаты напрямую у Symantec, а не у компаний-партнеров. Якобы здесь возможна атака не на API, а на некую уязвимость в клиентском интерфейсе самой Symantec. «Даже покупка из первых рук [не защищает от того, что] в некоторых случаях, в некоторых веб-интерфейсах, аутентифицированный пользователь может редактировать URL и получить сертификаты (включая приватные ключи) других аутентифицированных пользователей», — утверждает Бирн.
Специалист говорит, что на месте пользователей и клиентов компании, он бы относился к сертификатам, выпущенным в период с 2013 по 2016 годы, с большой настороженностью и предпринял бы дополнительные меры защиты.
Представители компании Symantec уже отреагировали на обвинения Бирна и ответили исследователю так:
«Мы изучили выводы, представленные в исследовании Криса Бирна, и не сумели воспроизвести [описанную] проблему. Мы будем рады [получить] proof-of-concept, как для оригинального исследования 2015 года, так и для более свежего отчета. Также нам неизвестно о существовании каких-либо реальных сценариев атак и доказательствах существования проблемы. Тем не менее, мы можем подтвердить, что доступ к приватным ключам не был получен, потому как это невозможно технически».