SOS :: Security Operation Space
16 декабря, суббота, 00:00
Hot News:

RSA исправила критические уязвимости агентов аутентификации

06 декабря 2017 г., среда, 18:30

Неправильная обработка ошибок авторизации позволяла злоумышленникам получить доступ к закрытым данным.

Американский поставщик решений для шифрования и защиты конфиденциальной информации выпустил патчи для двух критических уязвимостей своих продуктов. Бреши позволяли злоумышленникам обойти системы аутентификации веб-сервисов и приложений, написанных с использованием SDK RSA (software development kit, набор средств разработки).

Уязвимость CVE-2017-14377 затронула веб-агенты EMC RSA, которые обеспечивают аутентификацию на сайтах на базе Apache Web Server. Эти программные элементы запрашивают у посетителя SecurID-информацию, передают ее на центральный сервер и, в зависимости от полученного ответа, разрешают или блокируют вход. Как следует из комментария к патчу, если агент отправлял данные по TCP, злоумышленник мог вызвать специфическую ошибку, чтобы получить неавторизованный доступ к веб-ресурсам.

Вторая брешь — CVE-2017-14378 — потенциально представляет более серьезную угрозу, поскольку касается всех приложений, разработанных в SDK агентов аутентификации RSA для С. Проблема была связана с реализацией асинхронного режима TCP, который ускоряет обработку сетевых данных с разным битрейтом — например, при передаче в одном канале текста, голоса, аудио- и видеосигналов. Эта уязвимость также открывала взломщику доступ из-за сбоя механизма обработки ошибок.

Публикация уязвимостей заставила некоторых пользователей вспомнить, как RSA подозревали в получении денег от Агентства национальной безопасности США. В 2004 году компания включила алгоритм случайных чисел Dual EC DRBG в криптографическую библиотеку BSAFE — она используется во множестве шифровальных продуктов. За разработку этого генератора отвечали специалисты АНБ. Когда три года спустя аналитики Microsoft обнаружили в его коде следы бэкдора, эксперты заподозрили агентство в компрометации криптосистем на базе Dual EC DRBG, а EMC — в пренебрежении клиентами ради финансовой выгоды или благожелательных отношений с государством.

Обвинения нашли подтверждение в материалах Эдварда Сноудена, которые стали достоянием общественности в 2013 году. По сообщению британского IT-издания Register, полученные $10 миллионов позволили закрыть 2004 финансовый год подразделению EMC, которое отвечало за библиотеку BSAFE. По следам разоблачений компания RSA сама предостерегла клиентов от использования проблемного алгоритма. Однако все обвинения в сотрудничестве с АНБ она отвергла, заявив, что строила свои отношения с государством «в качестве поставщика [IT-решений] и как активный член сообщества информационной безопасности».

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
21:03
19:29
17:19
15:18
20:14
19:45
18:53
17:57
08:19
20:25
18:57
16:54
15:33
15:29
04:18
19:33
19:17
18:58


© 2013—2017 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.017
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.