พบช่องโหว่บน Symantec API เสี่ยงถูกขโมย Private Key

Chris Byrne ที่ปรึกษาด้านความมั่นคงปลอดภัยจาก Cloud Harmonics ออกมาเปิดเผยถึงปัญหาสำคัญในการออกใบรับรอง SSL ของ Symantec จากตัวแทนจำหน่ายและช่องโหว่บน API ในการส่งมอบและบริหารจัดการใบรับรอง SSL ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูล Certificate ออกไปได้ ไม่ว่าจะเป็น Private Key หรือ Public Key รวมไปถึงสามารถออกใบรับรองใหม่และเพิกถอนใบรับรองเหล่านั้นได้

Credit: The Cute Design Studio/ShutterStock

Byrne อธิบายถึงปัญหาที่ค้นพบว่า API ในการร้องขอและส่งมอบใบรับรองของ Symantec ที่ให้ตัวแทนจำหน่ายใช้นั้น เป็นแบบ URI-based UID ซึ่งมีการพิสูจน์ตัวตนที่ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์หรือลูกค้าที่เก่งคอมพิวเตอร์สามารถดักจับอีเมลที่มีลิงค์ที่ API สร้างขึ้น หรือเปลี่ยนพารามิเตอร์บน UID ของตนเพื่อเข้าถึงข้อมูลใบรับรอง SSL ของลูกค้าคนอื่นได้ ผลลัพธ์คือแฮ็คเกอร์สามารถขโมย Private Key, Public Key, เพิกถอนใบรับรอง หรือออกใบรับรองใหม่ได้

Byrne ค้นพบช่องโหว่นี้และรายงานไปยัง Symantec ตั้งแต่ปี 2015 ซึ่งทาง Symantec ก็รับทราบและขอร้องให้ยังไม่เปิดเผยข้อมูลดังกล่าว พร้อมทั้งสัญญาว่าจะแก้ไขปัญหาทั้งหมดภายใน 2 ปี อย่างไรก็ตาม หลังจากที่ Google ออกมาประกาศลดความน่าเชื่อถือของใบรับรอง SSL จาก Symantec บน Google Chrome ลงเมื่อสัปดาห์ที่ผ่านมา เนื่องจากพบปัญหาหลายประการระหว่างบริษัทกับตัวแทนจำหน่าย ทำให้ Byrne ตัดสินใจออกมาเปิดเผยปัญหาดังกล่าว

“จากประสบการณ์และการกระทำของ Google จนถึงตอนนี้ แสดงให้เห็นว่า Symantec ไม่ได้แก้ไขปัญหาอย่างจริงจังตามที่สัญญาไว้” — Byrne ระบุ

อย่างไรก็ตาม Byrne ไม่สามารถยืนยันได้ว่าช่องโหว่ที่เขาค้นพบกับช่องโหว่ที่ Google เจอนั้นเป็นช่องโหว่เดียวกันหรือไม่ และยังไม่มีหลักฐานหรือการ PoC ที่ชัดเจนว่าสามารถโจมตีช่องโหว่ได้จริง

ล่าสุด Symantec ออกมาชี้แจงถึงประเด็นดังกล่าวว่า ช่องโหว่ที่ Byrne กล่าวมาไม่น่าจะสร้างปัญหาหรือเป็นอันตรายต่อการใช้งานจริงแต่อย่างใด แต่ทาง Symantec ยินดีที่จะจัดการปัญหาในกรณีที่มีงานวิจัยหรือมีการ PoC ออกมา และ Symantec ยืนยันว่ายังไม่พบการเข้าถึง Private Key โดยไม่ได้รับอนุญาตแต่อย่างใด

ที่มา: http://thehackernews.com/2017/03/symantec-ssl-certificates.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ลงทะเบียนเข้าร่วมงาน Dell Technologies Forum 2020 วันนี้รับสิทธิลุ้นโน๊คบุ้ค Dell Latitude 7400 2-in-1 ทันที !!

คุณอาจเป็นหนึ่งในห้าผู้โชคดีที่ได้เป็นเจ้าของ Dell Latitude 7400 2-in-1 โน๊ตบุคระดับพรีเมี่ยมสำหรับธุรกิจที่สามารถปรับเป็นแทปเลตตามความต้องการใช้งานได้ หากคุณลงทะเบียนร่วมงานก่อนวันที่ 31 ตุลาคม 2563 ลงทะเบียนด่วน และเข้าร่วมงาน Dell Technologies Forum เพื่อรับสิทธิ์ในการร่วมชิงเป็นหนึ่งในห้าผู้โชคดีที่จะได้เป็นเจ้าของรางวัล Early Bird ด้วยวิธีง่ายๆ ไม่ยุ่งยาก

วางระบบ AI-Ready Infrastructure ตั้งแต่ขั้นตอนการวิจัยและพัฒนาไปจนถึง Edge-to-Cloud ด้วย Dell Technologies

ในปี 2021 ที่กำลังจะมาถึงนี้ การลงทุนของธุรกิจองค์กรเพื่อพัฒนาระบบ AI สำหรับนำมาใช้งานในภาคธุรกิจนั้นก็ยังคงมีแนวโน้มที่จะเติบโตไปอย่างต่อเนื่อง ซึ่ง Dell Technologies เองก็มีโซลูชันที่พร้อมตอบโจทย์ได้ในทุกความต้องการทางด้าน AI Infrastructure ด้วย Hardware ที่ถูกออกแบบมาโดยเฉพาะสำหรับแต่ละงานสำคัญ ดังนี้