พบช่องโหว่ในใบรับรอง TLS ทำให้เกิดการโจมตีแบบ MitM กับ DoS ได้

Ian Foster กับ Dylan Ayrey นักวิจัยด้านความปลอดภัย พบว่าโดเมนที่ใช้ SSL Certificate ตั้งแต่ 2 ปีขึ้นไป เมื่อเจ้าของโดเมนรายใหม่ทำการจดทะเบียนโดเมน ชื่อในใบรับรอง SSL ก็ยังคงเป็นชื่อเจ้าของโดเมนที่จดคนแรก ช่องโหว่นี้เองทำให้เสี่ยงต่อการโดนโจมตี แบบ of a man-in-the-middle (MitM) ซึ่งจะถอดรหัสข้อมูลที่เชื่อมต่อระหว่าง Web Server กับ Client ผ่าน ใบรับรอง SSL ที่ถูกต้องของโดเมนนั้น และแบบ denial-of-service (DoS) สำหรับ โดเมนหลายๆ โดเมนที่ใช้ SSL Certificate ร่วมกันเพียงใบเดียว หากหนึ่งในโดเมนที่ใช้ใบรับรองร่วมกันนั้นไม่ได้เป็นของผู้ใช้อีกต่อไปแล้ว นอกจากโดเมนของผู้ใช้จะถูกยกเลิกแล้ว โดเมนอื่นๆ ที่มีอยู่ภายใต้ใบรับรองเดียวกันนั้นอาจถูกยกเลิกการใช้งานได้เช่นกัน ซึ่งในกรณีนี้ผู้ใช้คนอื่นสามารถทำการโจมตีแบบ DoS ได้ ถ้าใบรับรองนั้นยังใช้งานอยู่


ที่มาภาพ: Bleeping Computer

จากการทดสอบโดยใช้กลุ่มตัวอย่าง โดเมน 3 ล้านโดเมน ใบรับรอง 7.7 ล้านใบเพื่อหาจำนวนโดเมนที่ลงทะเบียนก่อนหน้านี้ และจำนวนโดเมนที่ยังสามารถใช้งานได้หลังจากหมดอายุแล้ว พบว่ามีโดเมน 1.5 ล้านโดเมนที่ยังคงใช้งานใบรับรองได้อยู่ ทั้งๆ ที่หมดอายุไปแล้ว

สำหรับวิธีการป้องกัน ทำได้ดังนี้
1. ถ้าใบรับรองของเจ้าของเดิมอบู่ใน log ของ CT ผู้ใช้ต้องยื่นคำร้องไปยัง CA เพื่อเพิกถอนใบรับรองจากผู้ใช้เดิม
2. ใช้ Header Expect-CT HTTP เพื่อให้ CT log เชื่อได้ว่าโดเมนของคุณน่าเชื่อถือจริงๆ
3. ตรวจสอบเจ้าของโดเมนในปัจจุบัน และใบรับรองเก่าๆ ที่ได้จดไว้
4. CA ต้องออกใบรับรองสั้นๆ หรือแค่ประมาณ 90 วันเท่านั้น
5. CA ไม่ควรออกใบรับรองที่มีระยะเวลานานกว่าจำนวนวันของโดเมนที่จดทะเบียน

ดังนั้น เพื่อเป็นการเตือนให้เจ้าของโดเมนทราบถึงผลกระทบนี้ แนะนำให้ใช้ BygoneSSL ซึ่งเป็นเครื่องมือตรวจดูข้อมูล DNS และ log

ที่มาภาพ: Bleeping Computer

รายละเอียดเพิ่มเติมดูได้ที่นี่

ที่มา : Bleeping Computer