Проблема затрагивает не только тех, кто приобрел сертификаты у посредников, но также тех, кто купил их у Symantec.
Как сообщает ИБ-эксперт Крис Бирн (Chris Byrne), уязвимость в API, используемом партнерами Symantec, позволяют злоумышленникам получать чужие цифровые сертификаты, включая закрытые ключи. Проблемы были обнаружены еще в 2015 году, однако Бирн согласился временно не сообщать о них общественности. По словам представителей Symantec, на исправление уязвимостей должно было уйти не менее двух лет.
Согласно публикации Бирна в Facebook, уязвимость в Symantec API, используемом торговыми посредниками компании, предоставляет несанкционированный доступ к данным чужих сертификатов. «Достаточно лишь кликнуть на присланную в письме ссылку, и вы можете получить, отозвать или заново выпустить сертификат», - пояснил исследователь.
По словам Бирна, технически подкованный пользователь быстро догадается, что, просто изменив в ссылке один параметр, он может получить доступ к данным чужих сертификатов и выполнять действия в чужих учетных записях. Сервер API не осуществляет аутентификацию пользователей, получающих доступ к данным сертификатов, поэтому злоумышленники могут автоматизировать атаку и массово получать сертификаты клиентов Symantec.
С помощью похищенных сертификатов хакеры могут осуществлять атаку «человек посередине», перехватывать трафик интернет-магазинов, отправлять поддельные вредоносные обновления с серверов и т.д.
Как пояснил Бирн, проблема затрагивает не только тех, кто приобрел сертификаты у посредников, но также тех, кто купил их непосредственно у Symantec. Однако в этом случае уязвим не API, а другая часть клиентского интерфейса Symantec.
Согласно официальному заявлению компании, ее инженерам не удалось воспроизвести описанную Бирном проблему. Каких-либо сообщений об эксплуатации уязвимости производитель также не получал.