圖片來源: 

擷取自NSA官方網站

網站管理者注意!美國國家安全局(NSA)近期特別發布警告,要各界注意萬用字元憑證(Wildcard Certificate)的風險,並提出可因應的方式。

之所以宣布這項公告,起因於今年6月,有資安研究人員針對網路攻擊手法ALPACA(Application Layer Protocols Allowing Cross-Protocol Attacks)提出更完整的危害研究。由於傳輸加密通訊協定TLS對TCP連線完整性,並無保護,而該手法利用這弱點,在用戶不知情下,讓HTTPS流量重導至另一個IP位置。

然而,這不是可以簡單修復的軟體問題,用戶端與伺服器都需保護,這意味著所有支援TSL的應用程式與協議,都要對此問題提出因應之道。

不少網站使用Wildcard憑證,臺CERT也呼籲重視相關風險

面對這樣的新興風險,儘管資安業者尚未發現攻擊活動,但這類資安問題是否會導致嚴重的後果?TWCERT/CC組長林志鴻表示,國內有不少網站都是使用Wildcard憑證,而且,既然這樣的攻擊手法已被揭露,未來是很有可能被他人仿效、利用。

當然,就算這種攻擊手法並未曝光,而是在黑市流竄,相關問題仍未解決,因此,如何避免風險,確實值得關注。

他認為,NSA這次警示相當重要,網站管理者對於這種新興攻擊手法要有一定認識。事實上,這種攻擊手法要成立,有兩個主要條件:一是多種網站服務共用萬元字元憑證,二是這些網站的防護基準不一。
不過,ALPACA攻擊手法究竟如何進行的?組織的Web網站與電子郵件(www[.]example[.]com、mail[.]example[.]com)都使用同樣的Wildcard憑證,若網站系統防護很完善,郵件系統保護卻不足,可能促使駭客先入侵防護較差者,並植入惡意程式。

接著,攻擊者會運用網路釣魚、惡意廣告或水坑式(Watering Hole)等手法,讓本來要連上www[.]example[.]com的用戶,可能被導引,連到防護較差、遭駭客控制的電子郵件伺服器mail[.]example[.]com,但因網站使用同一個憑證,因此,TLS連線本身認定是正確無誤,並無異狀。

目前,NSA已經提出降低ALPACA攻擊風險的方式,林志鴻也透過這些資訊,來提出解法。

首先,就是要注意網路服務的防護基準要相同,才不會有可乘之機,減少被駭風險。

其次,是避免使用Wildcard憑證,但這麼一來,網站管理者就需為網域個別購置憑證,成本可能會增加,不過,林志鴻表示,若要讓網站防護水準保持一致,其實,這麼做的成本也同樣是要增加的。

至於其他的解法,包括透過應用程式防火牆(WAF),來保護伺服器,當中有些機制是可以在SSL驗證時進行比對,確保原來要連接的網站,是否同於真正要連的網站。

另一個預防作法就是啟用應用層協定交涉(ALPN),這是TLS的擴充機制,可確保在安全連接層之上使用的協定,避免SSL加密連線被轉導。同時,瀏覽器也需支援,因此也要注意升級至最新版本。

無論如何,隨著NSA對此攻擊手法特別提出公開的警告,對於Wildcard憑證的使用範圍與風險,企業與組織的網站管理者也可趁機重新檢視風險。

另一方面,對於這類新的威脅,銷售TLS憑證的匯智資訊表示,他們一直注意這類CA憑證安全問題,也都遵照各廠CA憑證中心的安全指示與規範。由於類似的攻擊事件與漏洞,在未來只會越來越多,他們建議企業先進行資安風險盤點,針對高風險區域優先進行防護,並注意相關消息與解決方式。基本上,包括確認憑證發放中心的可靠性,以及基本面的盤點,包含清查企業自身憑証及金錀的發放日期、到期日、使用地點、網址網站、管理人與列表清冊管理等,定時檢核,並注意憑證等級及保險賠償,是否適用於目前使用的標的物上。

 

對於ALPACA攻擊手法與Wildcard TLS憑證風險的問題,近日美國NSA已在官方網站撰文並發布網路安全資訊文件特別示警。(圖片來源:擷取自NSA)


熱門新聞

Advertisement