A Fox-IT jelentése a DigiNotar betörésről

A DigiNotart ért adatlopás után a digitális tanúsítványokat kibocsájtó cég a Fox-IT biztonsági auditorait kérte fel az incidens kivizsgálására. A Fox-IT végzett az előzetes ellenőrzéssel és a tegnapi nap folyamán nyilvánosságra hozták előzetes tapasztalataikat. A helyzet legalább annyira rossz, mint amire számítottak. A DigiNotar gyakorlatilag egy hónapig nem törődött az esettel és mikor felfedezték, hogy nagy a baj még egy hónapot vártak a szükséges lépések megtételével és a nyilvánosság értesítésével. A Fox-IT jelentéséből kiderül, hogy a rendszert június 17-én érte a támadás, amit a DigiNotar 19-én észlelt, de látszólag semmit sem tettek az elhárítás érdekében. A jelenlegi ismeretek szerint az első hamis tanúsítvány a *.google.com-hoz július 10-én jelent meg és július 10-e és 20-a között még további 529 hamis tanúsítványt készítettek a támadók.

Bár a vizsgálat még folyik, a DigiNotar néhány jelentős biztonsági mulasztására már most fény derült:

  1. Minden tanúsítvány szerver egy Windows tartomány részét képezte, így egy adminisztrátor fiók feltörésével, bármihez hozzáférhettek a támadók.
  2. A rendszergazda jelszó nagyon egyszerű volt, akár brute force támadással is könnyen feltörhető.
  3. A legtöbb, a támadás során használt káros szoftvert és eszközt egy egyszerű antivírus program felfedezte volna.
  4. A publikusan elérhető szerverek szoftverei elavultak voltak, és nem tartalmazták a biztonsági frissítéseket.
  5. Nem volt egységes és biztonsági loggolás beállítva.
  6. A kritikus adatok között nem volt hatékony szeparáció.

A támadó az egyik általa használt scriptben még egy üzenetet is hagyott, amely egyértelműen összekapcsolja az esetet a március Comodo esettel ahol szintén egy tanúsítványokat kibocsájtó szervezet volt a célpont.

Operation Black Tulip: Fox-IT’s report on the DigiNotar breach


Legfrissebb sérülékenységek
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2022-45124 – wellintech / kinghistorian sérülékenysége
Tovább a sérülékenységekhez »