Брешь в устройствах Cyberoam позволяет злоумышленниками перехватывать трафик пользователей

Исследователи центра защиты анонимности Tor сообщили о том, что один из пользователей ресурса torproject.org обнаружил поддельный сертификат доступа к сайту. Пользователь, сообщивший о неполадках, не заметил ошибок при загрузке web-страниц Gmail, Facebook или Twitter, что свидетельствует о целенаправленности атаки.

Сотрудники проекта Tor сообщили, что поддельный сертификат был предоставлен компанией Cyberoam. Изначально эксперты Tor считали, что хакеры подменили выданный компанией сертификат, однако после продолжительного и детального расследования специалисты обнаружили, что устройства DPI для проведения глубокого анализа пакетов данных, которые выпускает Cyberoam, не только выдают поддельные сертификаты доступа, но и могут перехватывать трафик пользователя.

Подмена сертификатов стала возможной в результате обнаружения в системе DPI уязвимости. Исследование сертификатов, которые генерируют устройства Cyberoam, показало, что все гаджеты используют один сертификат безопасности и ключ авторизации. Это позволяет злоумышленникам перехватить трафик пользователя устройства при помощи аналогичного гаджета, или же извлекать ключ авторизации, вводить его на другом устройстве и перехватывать трафик жертвы.

Разработчики проекта Tor сообщили руководству компании Cyberoam об обнаруженной уязвимости, отправив отчет об исследовании сертификатов доступа, однако представители компании никак не отреагировали на полученное сообщение.

Отметим, что сотрудники Tor предупредили разработчиков web-браузеров о проблемах в работе сертификатов Cyberoam и предложили внести их в свои «черные списки».