Een aanvaller heeft begin deze maand toegang gekregen tot de privésleutel van een Certificate Transparency-log van certificaatautoriteit DigiCert. Het bedrijf had een beschikbare beveiligingsupdate voor het Salt-framework niet geïnstalleerd, waardoor de aanvaller op 4 mei toegang tot de server kon krijgen. De update was sinds 29 april beschikbaar.
Certificate Transparency is een door Google ontwikkelde technologie en is bedoeld om verschillende structurele fouten in het certificaatsysteem te verhelpen en bijvoorbeeld onterecht uitgegeven certificaten in bijna real-time te detecteren. Bij Certificate Transparency verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar Certificate Transparency-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van certificaten bijhoudt.
Elk Certificate Transparency-log beschikt over een eigen privésleutel voor het signeren van de huidige geregistreerde certificaten, wat misbruik en manipulatie moet voorkomen. Op 4 mei werd één van de systemen gecompromitteerd die DigiCert gebruikt voor Certificate Transparency-logs. De aanvaller, die hiervoor van een bekend lek in het Salt-framework gebruikmaakte, kreeg daarbij ook toegang tot de privésleutel van het betreffende Certificate Transparency-log.
Volgens DigiCert had de aanvaller dit niet door. Die draaide namelijk "andere diensten" op het gecompromitteerde systeem, aldus een verklaring van de certificaatautoriteit. Een bericht op Hacker News laat weten dat het om een cryptominer ging die de rekenkracht van de machine gebruikte voor het delven van cryptovaluta. De andere Certificate Transparency-logs van DigiCert zouden niet zijn gecompromitteerd en het incident had verder geen grote gevolgen.
Salt, ook wel SaltStack genoemd, is een op Python gebaseerde, opensourceconfiguratiebeheertool. Op 29 april verscheen er een beveiligingsupdate voor twee kwetsbaarheden in Salt waardoor een aanvaller op afstand en zonder inloggegevens volledige controle over kwetsbare installaties kan krijgen. Eerder wisten aanvallers via het Salt-lek ook toegang te krijgen tot servers van mobiel besturingssysteem LineageOS en zoekfunctieprovider Algolia.
Deze posting is gelocked. Reageren is niet meer mogelijk.