Vulnerabilidad en SSL.com permitió certificados SSL fraudulentos

Iniciado por AXCESS, Abril 23, 2025, 11:11:54 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 23, 2025, 11:11:54 PM Ultima modificación: Abril 23, 2025, 11:14:52 PM por AXCESS
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login permitió a los atacantes emitir certificados SSL válidos para dominios importantes aprovechando un error en su método de verificación de dominio basado en correo electrónico.

La seguridad en internet se basa en la confianza, y la Autoridad de Certificación (CA) es clave en este sistema, ya que verifica las identidades de los sitios web y emite certificados SSL/TLS, que cifran la comunicación entre un ordenador y el sitio web.

Sin embargo, recientemente se detectó un grave problema con una de estas CA de confianza, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Los investigadores descubrieron una falla en la forma en que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login comprobaba si quien solicitaba un certificado controlaba realmente el nombre de dominio, un proceso denominado Validación de Control de Dominio (DCV).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login permite a los usuarios verificar el control del dominio y obtener un certificado TLS para conexiones HTTPS cifradas mediante la creación de un registro DNS TXT _validation-contactemail con la dirección de correo electrónico de contacto como valor. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login envía un código y una URL para confirmar que el usuario controla el dominio. Sin embargo, debido a este error, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ahora considera al usuario como el propietario del dominio utilizado para el correo electrónico de contacto.

Esta falla se debe a la forma en que se utiliza el correo electrónico para verificar el control, en particular con los registros MX, que indican qué servidores reciben correo electrónico para ese dominio. Permitía que cualquiera recibiera correo electrónico en cualquier dirección asociada a un dominio, obteniendo potencialmente un certificado SSL válido para todo el dominio. Está específicamente relacionada con el método DCV BR 3.2.2.4.14, también conocido como "Correo electrónico a contacto DNS TXT".

Esto es crucial, ya que un atacante no necesitaría tener control total sobre un sitio web, por ejemplo, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, para obtener un certificado aparentemente legítimo, ya que basta con la dirección de correo electrónico de un empleado o incluso una dirección de correo electrónico gratuita vinculada de alguna manera al dominio.

Los actores maliciosos pueden usar certificados SSL válidos para crear versiones falsas de sitios web legítimos, robar credenciales, interceptar la comunicación de los usuarios y, potencialmente, robar información confidencial mediante un ataque de intermediario. Un investigador de seguridad, bajo el alias Sec Reporter, demostró esto utilizando una dirección de correo electrónico @aliyun.com (un servicio de correo web gestionado por Alibaba) para obtener certificados para You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Esta vulnerabilidad afecta a organizaciones con direcciones de correo electrónico de acceso público, especialmente grandes empresas, dominios sin un control estricto de correo electrónico y dominios que utilizan registros DNS CAA (Autorización de Autoridad de Certificación).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ha reconocido el problema y ha explicado que, además del certificado de prueba que obtuvo el investigador, había emitido por error otros diez certificados de la misma manera. Estos certificados, emitidos desde junio de 2024, correspondían a los siguientes dominios:

*. You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (emitido dos veces), You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (emitido cuatro veces) y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (emitido cuatro veces).

La empresa también deshabilitó el método de validación "Correo electrónico a contacto DNS TXT" y aclaró que "esto no afectó a los sistemas ni a las API utilizadas por Entrust".

Si bien el problema de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se ha resuelto, demuestra los pasos importantes para mantener la seguridad del sitio web. Los registros CAA deben utilizarse para indicar a los navegadores qué empresas pueden emitir certificados, los registros públicos deben supervisarse para detectar certificados no autorizados y las cuentas de correo electrónico vinculadas a sitios web deben ser seguras.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario