АНБ предупредило об атаках ALPACA с использованием подстановочных TLS-сертификатов

[Artifact]

Атака позволяет похитить личные данные или выполнить произвольный JavaScript-код в контексте уязвимого web-сервера.

Агентство национальной безопасности США предупредило организации и компании о новых TLS-атаках под названием Application Layer Protocol Content Confusion Attack (ALPACA). АНБ призвало организации следовать техническим рекомендациям и защищать серверы от сценариев, когда злоумышленники могут получить доступ и расшифровать зашифрованный web-трафик.
АНБ особо подчеркнуло использование TLS-сертификатов с подстановочными знаками, о чем многие исследователи безопасности также предупреждали на протяжении многих лет. Подстановочный сертификат — цифровой TLS-сертификат, полученный компаниями из центров сертификации, которые позволяют владельцу применять его к домену и всем его поддоменам одновременно (*.example.com).
На протяжении многих лет компании использовали сертификаты с подстановочными знаками в целях снижения затрат и удобства управления, поскольку администраторы могут применять один и тот же сертификат на всех серверах вместо управления разными сертификатами для каждого поддомена.
Однако такая простота использования также подвергает риску, поскольку злоумышленнику достаточно взломать сервер и таким образом скомпрометировать всю сеть компании.
«Злоумышленник, получивший контроль над закрытым ключом, связанным с подстановочным сертификатом, получает возможность выдавать себя за любой из представленных сайтов и получить доступ к действительным учетным данным пользователя и защищенной информации», — сообщили в АНБ.
В сообщении АНБ содержится предупреждение о новой атаке ALPACA, зафиксированной летом нынешнего года. Атака позволяет злоумышленнику сбить с толку web-серверы с несколькими запущенными протоколами и заставить их отметить на зашифрованные HTTPS-запросы через незашифрованные протоколы, такие как FTP, электронная почта (IMAP, POP3) и другие.
Успешная атака «позволяет похитить cookie-файлы сеанса и другие личные данные пользователя или выполнить произвольный JavaScript-код в контексте уязвимого web-сервера, минуя TLS и безопасность web-приложений».
По словам экспертов, более 119 тыс. web-серверов были уязвимы к атакам ALPACA. АНБ просит организации включить Application-Layer Protocol Negotiation (ALPN), которое является расширением TLS и не позволяет серверам отвечать на запросы через запрещенные протоколы (такие как FTP, IMAP и т. д.).