พบช่องโหว่ในมาตรฐานการแลกเปลี่ยน Certificate X.509 ทำให้แฝงข้อมูล C&C ลงไปได้

นักวิจัยจาก Fidelis Cybersecurity ได้พบช่องโหว่เพื่อแอบแฝงข้อมูลแบบใหม่โดยใช้กระบวนการมาตรฐานของ Public Key Certificate อย่าง X.509 แบบปกติเพื่อแอบแฝงข้อมูลการสื่อสารแบบ C&C ที่ใช้ควบคุมเครื่องเหยื่อหลังฝังตัวได้แล้ว โดยมาตรฐาน X.509 ถูกใช้ในโปรโตคอลการเข้ารหัสอย่าง TLS และ SSL 

นักวิจัยกล่าวว่า Extension ของ X.509 สามารถใช้แฝงข้อมูลของคนร้ายเพื่อลัดผ่านการป้องกันของเครือข่ายที่ไม่มีการดูค่าภายใน Certificate แม้ว่ายังไม่มีรายงานการโจมตีจากช่องโหว่นี้เกิดขึ้นแต่ด้วยความที่มีการใช้งาน Certificate อย่างแพร่หลายในองค์กรต่างๆ จึงก่อให้เกิดความเสี่ยงเกิดขึ้นได้

นักวิจัยได้อธิบายถึงการวิเคราะห์ในเว็บของ Fidelis ไว้ว่า “X.509 มีหลาย Fields ของข้อมูลที่สามารถใส่ String ได้จำนวนมากซึ่งประกอบด้วย Serial Number, Issuer Name, Validity Period และอื่นๆ ทำให้สามารถแอบแฝงข้อมูลไปในหนึ่งใน Fields ข้อมูลเหล่านี้ได้ อีกทั้งขั้นตอนการแลกเปลี่ยน Certificate เกิดขึ้นก่อนสร้างเซสชัน TLS นั่นทำให้มันไม่มีข้อมูลที่ถูกส่งเลยเพราะข้อมูลที่ไม่ดีถูกส่งจบอยู่ภายในกระบวนแลกเปลี่ยน Certificate เอง” ในกรณีของการป้องกันตัวเองซึ่งขั้นตอน PoC นักวิจัยได้ทดสอบด้วย Certificate แบบ Self-signed และการบล็อก Self-signed Certificate นั้นช่วยได้อย่างมาก ส่วนอีกกรณีหนึ่งคือตรวจสอบหาสิ่งที่เป็นภัยภายใน Certificate

ที่มา : http://www.securityweek.com/tls-abusing-covert-data-channel-bypasses-network-defenses และ https://www.infosecurity-magazine.com/news/flaw-in-tlsssl-certificates-covert/ และ https://threatpost.com/covert-data-channel-in-tls-dodges-network-perimeter-protection/129779/