11 oct. 2021

ALPACA: peligros asociados a los certificados de WildCard TLS

NSA publicó una advertencia sobre los riesgos de usar los certificados digitales TLS del tipo wildcard. NSA recomienda varias acciones a los administradores para mantener sus servidores seguros. Esta guía también describe los riesgos de caer víctima de un método de explotación del ataque de confusión de protocolo sobre TLS conocido como Application Layer Protocols Allowing Cross-Protocol Attacks (ALPACA) [PDF] que permiten ataques de protocolo cruzado, que los delincuentes pueden utilizar para acceder a información confidencial.

  • ALPACA: ataque de confusión de protocolo sobre TLS
  • ALPACA fue presentado en Black Hat USA 2021 y en USENIX Security Symposium 2021
  • Artículos recomendados: Ars Technica (Dan Goodin), Golem (Hanno Böck; German)
  • Los administradores deben evaluar sus entornos y limitar el uso de los certificados del tipo wildcard por los riesgos de ALPACA. Los certificados "comodín" se utilizan para autenticar múltiples servidores y simplificar la administración de credenciales, y ahorrar tiempo y dinero. Sin embargo, si un servidor alberga un certificado wildcard está comprometido, todos los demás servidores que pueden representarse por el mismo certificado se ponen en riesgo.

    Un atacante con la clave privada de un certificado comodín puede impersonalizar a alguno de los sitios dentro del alcance del certificado y obtener acceso a las credenciales de los usuarios y la información protegida.

    NSA recomienda a los administradores asegurarse que el uso de los certificado comodín de su organización no cree riesgos no mitigados, lo que hace que sus servidores web sean vulnerables a las técnicas de ALPACA. El documento de ciberseguridad proporciona mitigaciones para certificados mal implementados, que incluyen:

    • Entender el alcance de cada certificado comodín utilizado en la organización.
    • Usar un proxy o firewall de aplicación web frente a los servidores, incluidos los servidores que no son HTTP.
    • Usar DNS cifrado y validar las extensiones de seguridad DNS para prevenir la redirección DNS.
    • Habilitar la negociación del protocolo Application-Layer Protocol Negotiation (APLN), una extensión TLS que permite que el servidor / aplicación especifique protocolos permitidos donde sea posible.
    • Mantener los navegadores web actualizado.

    Fuente: NSA

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!