Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

АНБ предупредило об атаках ALPACA с использованием подстановочных TLS-сертификатов

12/10/21

ALPACA-1Агентство национальной безопасности США предупредило организации и компании о новых TLS-атаках под названием Application Layer Protocol Content Confusion Attack (ALPACA). АНБ призвало организации следовать техническим рекомендациям и защищать серверы от сценариев, когда злоумышленники могут получить доступ и расшифровать зашифрованный web-трафик.

АНБ особо подчеркнуло использование TLS-сертификатов с подстановочными знаками, о чем многие исследователи безопасности также предупреждали на протяжении многих лет. Подстановочный сертификат — цифровой TLS-сертификат, полученный компаниями из центров сертификации, которые позволяют владельцу применять его к домену и всем его поддоменам одновременно (*.example.com).

На протяжении многих лет компании использовали сертификаты с подстановочными знаками в целях снижения затрат и удобства управления, поскольку администраторы могут применять один и тот же сертификат на всех серверах вместо управления разными сертификатами для каждого поддомена.

Однако такая простота использования также подвергает риску, поскольку злоумышленнику достаточно взломать сервер и таким образом скомпрометировать всю сеть компании.

«Злоумышленник, получивший контроль над закрытым ключом, связанным с подстановочным сертификатом, получает возможность выдавать себя за любой из представленных сайтов и получить доступ к действительным учетным данным пользователя и защищенной информации», — сообщили в АНБ.

В сообщении АНБ содержится предупреждение о новой атаке ALPACA, зафиксированной летом нынешнего года. Атака позволяет злоумышленнику сбить с толку web-серверы с несколькими запущенными протоколами и заставить их отметить на зашифрованные HTTPS-запросы через незашифрованные протоколы, такие как FTP, электронная почта (IMAP, POP3) и другие.

Успешная атака «позволяет похитить cookie-файлы сеанса и другие личные данные пользователя или выполнить произвольный JavaScript-код в контексте уязвимого web-сервера, минуя TLS и безопасность web-приложений».

По словам экспертов, более 119 тыс. web-серверов были уязвимы к атакам ALPACA. АНБ просит организации включить Application-Layer Protocol Negotiation (ALPN), которое является расширением TLS и не позволяет серверам отвечать на запросы через запрещенные протоколы (такие как FTP, IMAP и т. д.).

Темы:АНБУгрозыTLSВебмониторэкс
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • "Крипто БД" – сертифицированная система предотвращения утечек информации из СУБД
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Система “Крипто БД” позволяет осуществлять выборочное динамическое шифрование информации, хранящейся в таблицах базы данных.
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...