Исправлены уязвимости ​​в системе аутентификации eIDAS ЕС

Европейские власти выпустили патч для двух уязвимостей в системе авторизации eIDAS (electronic IDentification, Authentication and trust Services), эксплуатация которых позволяет злоумышленнику выдать себя за любого гражданина или предприятие ЕС во время официальных транзакций.

eIDAS представляет собой сложную, криптографически защищенную, электронную систему для управления цифровыми транзакциями и подписями между государствами-членами ЕС, гражданами и предприятиями. Созданная в 2014 году eIDAS позволяет проверять по официальным базам данных транзакции в любой стране, независимо от государства, откуда происходила транзакция.

eIDAS-Node является официальным пакетом программного обеспечения, используемым правительственными организациями на своих серверах для поддержки eIDAS-транзакций в частных базах данных. Поэтому любые уязвимости в программном обеспечении eIDAS-Node могут позволить злоумышленникам вмешиваться в официальные цифровые транзакции ЕС, такие как налоговые платежи, банковские переводы, отгрузки товаров и пр.

Две уязвимости обнаружили исследователи из компании SEC Consult. Их эксплуатация позволяет злоумышленнику выдать себя за любого гражданина или предприятия ЕС. По словам специалистов, текущие версии пакета eIDAS-Node не проверяют сертификаты, используемые в операциях eIDAS, позволяя преступникам подделывать сертификаты любого другого гражданина или предприятия eIDAS.

Для осуществления атаки преступнику нужно инициировать злонамеренное соединение с сервером eIDAS-Node любого государства-члена и предоставить поддельные сертификаты во время начального процесса аутентификации.

Обновление программного пакета eIDAS-Node (v2.3.1), исправляющее данные уязвимости, доступно для загрузки на официальном сайте.