firataverbek
Güvenlik Uzmanı
- Katılım
- 16 Ara 2020
- Mesajlar
- 42
- Tepki
- 19
NSA, kuruluşları joker TLS sertifikalarının kullanımına ve yeni ALPACA TLS saldırısına karşı uyarmak için teknik bir tavsiye yayınladı.
Ulusal Güvenlik Ajansı (NSA), kuruluşları joker TLS sertifikalarının kullanımına ve yeni ALPACA TLS saldırısına karşı uyarıyor .Bir joker sertifikası tek alan adı tüm birinci düzey alt sabitlemek için kullanılabilecek bir ortak anahtar sertifikası olduğunu.
"Yüzeyde, joker karakter sertifikaları, HTTPS'yi alt alanlar arasında hızlı ve kolay bir şekilde dağıtmanın harika bir yolu gibi görünüyor. Bir sertifika satın aldınız ve sınırsız alt alan adlarına gitmeye hazırsınız. Gerçekten de, joker karakter sertifikaları daha ucuzdur ve genişletilmesi daha kolaydır. Ancak bunların yönetimi daha kolay değil.” Venafi'nin yayınladığı gönderiyi belirtiyor.
Bir joker karakter sertifikası, yöneticilerin her bir alt etki alanını korumak için tek bir joker karakter sertifikası kullanmasına izin verir, yine de araştırmacılar, joker karakter TLS sertifikalarının kullanımının saldırganlar tarafından TLS şifreli trafiğin şifresini çözmek için kullanılabileceği konusunda uyarıyor.
“Joker karakter sertifikalarının kullanılmasından kaynaklanan iyi bilinen riskler, sertifikayı kullanan herhangi bir tek sunucunun tehlikeye girmesine veya herhangi bir tek sunucuya bağlantının sürüm düşürme istismarına dayalıdır ve bu sertifika tarafından temsil edilebilecek diğer tüm sunucuları riske sokar. Bir joker karakter sertifikasıyla ilişkili özel anahtarın kontrolünü ele geçiren kötü niyetli bir siber aktör, onlara temsil edilen sitelerden herhangi birinin kimliğine bürünme ve geçerli kullanıcı kimlik bilgilerine ve korunan bilgilere erişim sağlama yeteneği sağlayacaktır." okurNSA tarafından yayınlanan Siber Güvenlik Bilgi Sayfası. "Bilinen risklere ek olarak, siber güvenlik araştırmacıları yakın zamanda hem HTTPS hem de HTTPS olmayan sunucuları temsil eden joker karakter veya diğer sertifikaların kullanılmasının, TLS zayıflıklarına veya özel anahtar uzlaşmalarına bağlı olmayan, kötüye kullanılabilir web güvenlik açıklarına yol açabileceğini göstermiştir."
NSA, Savunma Bakanlığı (DoD), Ulusal Güvenlik Sistemleri (NSS) ve Savunma Sanayi Üssü'nün (DIB) güvenliğini sağlamaya yardımcı olacak kılavuzu yayınladı.
Ajans, yöneticileri kuruluşlarında bir joker sertifika kullanımını değerlendirmeye çağırıyor ve ayrıca, saldırganların hassas bilgilere erişmesine izin verebilen Uygulama Katmanı Protokolleri Çapraz Protokol Saldırılarına İzin Veren (ALPACA) adlı bir web uygulaması istismar yönteminin kurbanı olma risklerini de özetliyor. .
ALPACA tekniği, belirli koşullar altında, saldırganların, kötü niyetli eylemler gerçekleştirmek ve hassas verileri görüntülemek için HTTP ve TLS tarafından korunan diğer metin tabanlı protokoller arasındaki protokol karışıklığı ile birlikte web tarayıcılarının ve sunucularının hataya dayanıklılık özelliklerinden yararlanmalarına olanak tanır.
Tehdit aktörleri, bu tekniği, oturum çerezlerini ve diğer özel kullanıcı verilerini çalmak veya savunmasız web sunucusu bağlamında keyfi JavaScript yürütmek için kullanabilir.
Siber Güvenlik Bilgi Sayfası, kötü uygulanan sertifikalar ve ALPACA için aşağıdakiler de dahil olmak üzere diğer azaltıcı önlemleri sağlar:
- Kuruluşunuzda kullanılan her bir joker karakter sertifikasının kapsamını anlama
- HTTP olmayan sunucular da dahil olmak üzere sunucuların önünde bir uygulama ağ geçidi veya web uygulaması güvenlik duvarı kullanma
- DNS yeniden yönlendirmesini önlemek için şifreli DNS kullanma ve DNS güvenlik uzantılarını doğrulama
- Sunucunun/uygulamanın mümkün olduğunda izin verilen protokolleri belirtmesine izin veren bir TLS uzantısı olan Uygulama Katmanı Protokol Müzakeresini (APLN) etkinleştirme
- Güncel güncellemelerle web tarayıcılarını en son sürümde tutmak