A HTTPS-forgalom elemző szoftverek gyengíthetik a titkosított kommunikációt

Az amerikai CERT/CC (CERT Coordination Center) elemzése szerint a HTTPS forgalom elfogása nem megfelelő tanúsítványkezelés mellett komoly biztonsági kockázatot jelenthet.

Felmerülhet annak igénye (például malware detektálás céljából), hogy a végponti titkosított kommunikációba (SSL/TLS) beékelődve a forgalmat a klienshez való beérkezés előtt elfogjuk és elemzésnek vessük alá. Erre a tevékenységre léteznek dedikált eszközök és termékek. A kliens – az ilyen architektúrában – teljesen megbízik a forgalom elemzőben, nincs lehetősége a webszerver tanúsítványának közvetlen ellenőrzésére.

A probléma abból adódik – mutatta ki a szóban forgó tanulmány -, hogy esetenként ezek a szoftverek nem ellenőrzik megfelelően a szerver által nyújtott tanúsítványt, mielőtt kititkosítanák és továbbítanák a forgalmat. Ezzel lényegében lehetőséget biztosítanak egy harmadik fél számára közbeékelődéses (MitM) támadás végrehajtására.

Az alábbi weboldal segítségül szolgálhat annak megállapítására, hogy az alkalmazott elemző szoftver érintett-e:

https://badssl.com/ 

Az alábbi hivatkozásokon pedig bővebb információt találhat a témában, köztük egy listát a potenciálisan veszélyes szoftverekről.

Hivatkozások:

https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html
https://www.us-cert.gov/ncas/alerts/TA17-075A
https://www.us-cert.gov/ncas/alerts/TA15-120A


Legfrissebb sérülékenységek
CVE-2023-27394 – Osprey Pump Controller sérülékenysége
CVE-2023-27886 – Osprey Pump Controller sérülékenysége
CVE-2023-1516 – RoboDK sérülékenysége
CVE-2022-3683 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége
CVE-2022-3682 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége
CVE-2023-28596 – Zoom Client for IT Admin macOS sérülékenysége
CVE-2023-28650 – SAUTER EY-modulo 5 Building Automation Stations sérülékenysége
CVE-2023-20951 – Google Android, Google Android (12L) sérülékenysége
CVE-2023-20954 – Google Android, Google Android (12L) sérülékenysége
CVE-2023-28303 – Windows képmetsző sérülékenysége
Tovább a sérülékenységekhez »