A HTTPS-forgalom elemző szoftverek gyengíthetik a titkosított kommunikációt

Az amerikai CERT/CC (CERT Coordination Center) elemzése szerint a HTTPS forgalom elfogása nem megfelelő tanúsítványkezelés mellett komoly biztonsági kockázatot jelenthet.

Felmerülhet annak igénye (például malware detektálás céljából), hogy a végponti titkosított kommunikációba (SSL/TLS) beékelődve a forgalmat a klienshez való beérkezés előtt elfogjuk és elemzésnek vessük alá. Erre a tevékenységre léteznek dedikált eszközök és termékek. A kliens – az ilyen architektúrában – teljesen megbízik a forgalom elemzőben, nincs lehetősége a webszerver tanúsítványának közvetlen ellenőrzésére.

A probléma abból adódik – mutatta ki a szóban forgó tanulmány -, hogy esetenként ezek a szoftverek nem ellenőrzik megfelelően a szerver által nyújtott tanúsítványt, mielőtt kititkosítanák és továbbítanák a forgalmat. Ezzel lényegében lehetőséget biztosítanak egy harmadik fél számára közbeékelődéses (MitM) támadás végrehajtására.

Az alábbi weboldal segítségül szolgálhat annak megállapítására, hogy az alkalmazott elemző szoftver érintett-e:

https://badssl.com/ 

Az alábbi hivatkozásokon pedig bővebb információt találhat a témában, köztük egy listát a potenciálisan veszélyes szoftverekről.

Hivatkozások:

https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
https://www.us-cert.gov/ncas/alerts/TA17-075A
https://www.us-cert.gov/ncas/alerts/TA15-120A


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »