Các lỗ hổng nằm trong dịch vụ định danh, xác thực và tin cậy điện tử (eIDAS). Dịch vụ này đã đi vào hoạt động trong 5 năm, được thiết kế như một cầu nối an toàn giữa tất cả các hệ thống hành chính và định danh khác nhau của 28 quốc gia tạo nên khối thương mại lớn nhất thế giới.
Về cơ bản, người dùng có thể sử dụng eIDAS để ký tài liệu, nộp thuế, đăng ký các khóa học đại học, mở tài khoản ngân hàng, truy cập các dịch vụ công cộng,... tại một quốc gia EU được sử dụng danh tính kỹ thuật số do chính phủ của một quốc gia EU khác cấp. Ví dụ, một người ở Pháp có thể sử dụng ID điện tử do Chính phủ Pháp cấp để truy cập các dịch vụ trực tuyến ở Ý thông qua eIDAS để nhận dạng.
Qua các lỗ hổng, dịch vụ này có thể bị lợi dụng để giả danh người khác, phần nào phá vỡ toàn bộ sự tin cậy và xác thực mà hệ thống cung cấp. Những nơi đang sử dụng phần mềm eIDAS-Node như nhiều quốc gia thành viên EU cần phải cập nhật lên phiên bản 2.3.1 trở lên để tránh những lỗ hổng bảo mật này.
Tuy nhiên, phạm vi của các lỗ hổng khá hạn chế vì phần mềm này được các quốc gia sử dụng để nói chuyện với các hệ thống của các quốc gia khác. Do đó, nó có thể được sử dụng bởi các tổ chức của một quốc gia để lừa đảo rằng mình là công dân của quốc gia khác.
Hiện nay, EU đã phát hành bản vá và gửi thông báo đến các nhà quản trị của các quốc gia. SEC Consult khuyến cáo nên áp dụng ngay bản vá. Ngoài ra, công ty cũng khuyên các đơn vị vận hành eIDAS-Node nên tiến hành điều tra xem liệu lỗ hổng này đã bị khai thác trong thực tế hay chưa.
Lỗ hổng trong phần mềm eIDAS-Node
Chuyên gia bảo mật Wolfgang Ettlinger của công ty bảo mật SEC Consulting đã tìm thấy và báo cáo các lỗ hổng này. Lỗ hổng tồn tại trong thành phần xác thực xuyên biên giới của phần mềm eIDAS-Node, cho phép kẻ tấn công có thể mạo danh bất kỳ công dân EU nào.
Quá trình xác thực được minh hoạ như sơ đồ dưới đây. Nếu một công dân Ý muốn xác thực với dịch vụ trực tuyến của Đức, trước tiên, eIDAS-Node của Đức (eIDAS-Connector) được ứng dụng web hướng dẫn để khởi tạo quá trình xác thực. Nó sẽ gửi một yêu cầu tới eIDAS-Node của Ý (eIDAS-Service). eIDAS-Node của Ý chuyển tiếp thông tin người dùng đến một hệ thống được trang bị để xác thực công dân Ý bằng cách sử dụng chương trình eID quốc gia. Sau khi xác thực, eIDAS-Connector của Đức sẽ nhận được thông tin công dân mà nó chuyển tiếp đến ứng dụng web.
Quá trình xác thực các dịch vụ trực tuyến
Các lỗ hổng nằm trong đoạn mã mà eIDAS xử lý các chứng thực mật mã được gửi tới trong quá trình này. Nhà phát hành chứng thực không được kiểm tra; giá trị trả về của lệnh gọi hàm xác thực trong lớp OpenSAML ExplicitKeyTrustEvaluator để xác định liệu chứng chỉ có đáng tin cậy hay không đã bị bỏ qua. Phần mềm đã được xử lý bất kể kết quả nhận về là gì. Cuối cùng, chứng thực bảo mật có thể bị giả mạo, do đó có thể mạo danh người khác. Vì vậy, cần kiểm tra nhà phát hành chứng thực mã hóa và không bỏ qua các giá trị trả về của các hàm, đặc biệt là các hàm kiểm tra nguồn khóa mật mã có thể được tin cậy hay không.
Lỗ hổng này đã được báo cáo một cách bí mật vào tháng 7/2019. Có lẽ, nó mới xuất hiện trong vòng chưa đầy một năm vì năm 2018, Đại học Ruhr Bochum ở Đức đã tiến hành một thử nghiệm trên hệ thống và rất có thể đã phát hiện ra lỗ hổng nếu nó đã tồn tại vào thời điểm đó. Vì vậy, có thể lỗ hổng này mới xuất hiện trong khoảng thời gian giữa cuộc kiểm tra năm 2018 và tháng 6/2019, khi SEC Consult bắt đầu xem xét mã nguồn của hệ thống.
Nguyễn Anh Tuấn
theo The Register
07:00 | 04/11/2019
16:00 | 24/10/2019
11:00 | 06/01/2020
16:00 | 23/12/2019
08:00 | 28/10/2019
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024