Уязвимость на Trustico.com позволяла злоумышленникам выполнять произвольные команды на хостинговом сервере.
В четверг, 28 февраля, в Twitter была опубликована информация о примитивной, легко эксплуатируемой уязвимости на сайте реселлера HTTPS-сертификатов Trustico. Вскоре после публикации сайты компании и ее партнера SSL Direct ушли в offline и выдавали ошибку 503 (очевидно, оба сайта использовали в качестве хостинга один и тот же сервер).
Уязвимость на Trustico.com позволяла злоумышленникам выполнять произвольные команды на хостинговом сервере. Из-за отсутствия надлежащей проверки входных данных атакующие могли добавить в web-форму особым образом сконфигурированные команды в виде URL и запустить их на атакуемой системе под управлением Linux с правами суперпользователя. То есть, любой, кто обнаружил бы и проэксплуатировал уязвимость, смог бы получить контроль над web-сервером.
В Twitter информацию об уязвимости опубликовал сербский исследователь Предраг Куянович (Predrag Cujanović). По словам исследователя, он нашел подробности о ней в интернете и просто выложил их на своей странице в соцсети. «Какая-либо защита отсутствовала, и я не увидел никакой чувствительной информации», - отметил Куянович.
Директор Trustico Зэйн Лукас (Zane Lucas) сообщил изданию The Register, что хостинговый сервер не связан с системами, содержащими данные клиентов компании, а уязвимым web-приложением является инструмент для проверки сертификатов сайтов, а не сервис, использующий данные клиентов. Сайт был отключен на время проведения расследования инцидента.
Напомним , на этой неделе Trustico оказалась в центре скандала, связанного с массовым отзывом цифровых сертификатов. Лукас отправил по электронной почте 23 тыс. закрытых ключей удостоверяющему центру DigiCert, выпускающему SSL/TLS-сертификаты под торговой маркой Symantec. Согласно существующим правилам, УЦ был вынужден отозвать скомпрометированные сертификаты.
Ранее DigiCert принадлежал Trustico, однако затем был продан. В середине прошлого месяца Trustico перестала продавать сертификаты Symantec и в будущем займется продажей сертификатов Comodo. Данный шаг связан с тем, что в нынешнем году Google Chrome и Mozilla Firefox будут автоматически отклонять SSL/TLS-сертификаты, выпущенные под торговой маркой Symantec.
Никаких овечек — только отборные научные факты