Sites WordPress estão sendo invadidos ‘em segundos’ após a emissão de certificados TLS
16 de maio de 2022Os invasores atacam antes que os proprietários do site possam ativar o assistente de instalação
Os invasores estão utilizando o sistema de Transparência de Certificados (CT) para comprometer novos sites do WordPress na normalmente breve janela de tempo antes que o sistema de gerenciamento de conteúdo (CMS) tenha sido configurado e, portanto, protegido.
Certificado de Transparência é um padrão de segurança da Web para monitorar e auditar certificados SSL/TLS que são emitidos por autoridades de certificação (CAs) para validar a identidade dos sites.
Implementado pela primeira vez pela DigiCert CA em 2013, o padrão exige que as CAs registrem imediatamente todos os certificados recém-emitidos em logs públicos para fins de transparência e a descoberta imediata de certificados não autorizados ou mal utilizados.
Ataques DDoS
No entanto, há evidências crescentes de que hackers mal-intencionados estão monitorando esses logs para detectar novos domínios do WordPress e configurar o próprio CMS depois que os administradores da Web carregam os arquivos do WordPress, mas antes de conseguirem proteger o site com uma senha.
Vários testemunhos surgiram detalhando sites sendo invadidos em minutos – em segundos, até mesmo – após a solicitação de certificados TLS.
Eder Souza, CTSO (Chief Technology & Security Officer) e Co-fundador da e-Safer uma das principais empresas brasileiras especializadas em fornecer, instalar e dar suporte aos certificados digitais SSLs, comenta as vulnerabilidades no WoldPress.
“Sobre o ataque citado, é importante dizer que já existem relatos relacionados ao tema desde 2019 e precisamos deixar claro pontos importantes sobre ele.
O primeiro é sobre a forma na qual os possíveis atacantes estão descobrindo os ambientes vulneráveis, que nesse caso a estratégia adotada é um monitoramento efetivo dos logs públicos produzidos pelas Autoridades Certificadoras (AC) no processo de emissão dos certificados digitais, chamado Certificate Transparency (CT).
A cada novo certificado digital emitido por essas ACs pública, as informações públicas desse certificado digital são inseridas no CT com o propósito de permitir a todos os interessados monitorar seus domínios e perceber rapidamente se um certificado digital foi emitido para o seu domínio sem sua aprovação ou conhecimento. Inclusive fica aqui a recomendação para as centrais de monitoramento de segurança (SOC) dos clientes acompanharem as informações públicas com o propósito de identificar algo estranho para a empresa.
O fato é que, como as ACs publicam as informações necessárias tão logo os certificados digitais são emitidos, grupos mal intencionados estão monitorando esses logs com o objetivo de identificar se o certificado digital em questão foi emitido para uma nova instância de WordPress e ai, imediatamente vão até esse ambiente com scripts elaborados para acelerar o processo e tentam se autenticar usando credenciais padrão, ou que são fornecidas na instalação do produto e ainda não foram modificadas pelos responsáveis pela instalação.
E se essa condição for verdadeira, esses hackers obtêm o acesso privilegiado e instalam códigos (scripts) maliciosos nessa nova instância e esses scripts podem permitir a eles executarem diversas ações maliciosas, como usar o equipamento para minerar criptoativos, roubar credenciais de outros usuários ou até usar esse ambiente para ataques DDoS contra alvos selecionados.
A recomendação para os profissionais que instalam e administram ambientes como esse é, tão logo a instalação seja finalizada, substituir todas as credenciais que geradas no momento da instalação por credenciais seguras e de conhecimento restrito. Fazendo isso os atacantes não conseguirão ter o acesso necessário para comprometer o ambiente conforme desejado.
Como a transparência de certificados se encaixa na infraestrutura de chave pública da Web
O que é Web PKI?
A organização internacional CT – Transparência de Certificados – foi uma resposta ao ataque de 2011 à DigiNotar e outras Autoridades de Certificação. Esses ataques mostraram que a falta de transparência na maneira como as CAs operavam era um risco significativo para a infraestrutura de chave pública da Web. Isso levou à criação deste projeto ambicioso para melhorar a segurança online, trazendo responsabilidade para o sistema que protege o HTTPS.
Golpe com certificados digitais falsos leva DigiNotar à falência
Essa infraestrutura está inserida em um ecossistema mais amplo, a Web Public Key Infrastructure – Web PKI, que permite comunicação segura e criptografada que pode ser configurada por não especialistas. Sem criptografia, a comunicação entre servidores e navegadores pode ser lida por qualquer pessoa. Quando o ecossistema funciona bem, essa informação é privada.
Quando um usuário final acessa um site que tem um URL HTTPS, ele está interagindo com a Web PKI. É um sistema com tudo o que é necessário para emitir, distribuir e verificar chaves criptográficas e certificados e vinculá-los ao domínio correto.
No núcleo da Web PKI estão as chaves criptográficas que permitem operações criptográficas como autenticação, autorização e criptografia. Um certificado é, essencialmente, uma ligação de uma chave criptográfica (neste caso, uma chave pública) a um domínio da web por uma Autoridade de Certificação (CA).
Por que o CT é importante para a Web PKI?
O CT traz transparência ao sistema de certificados SSL/TLS que suporta a web. Os protocolos SSL/TLS sustentam HTTPS e Web PKI. A falta de transparência enfraquece a confiabilidade e a eficácia das conexões criptografadas, o que pode comprometer mecanismos críticos de SSL/TLS. Como resultado, eles podem permitir uma ampla gama de ataques de segurança, como falsificação de site, representação de servidor e ataques man-in-the-middle.
Os três principais objetivos do Projeto de Transparência de Certificados
1. Aumentar a velocidade na detecção de certificados emitidos sem conhecimento do dono domínio, certificados maliciosos e certificados falsos
2. Oferecer um sistema de monitoramento e auditoria aberto que permita a qualquer pessoa ou entidade determinar se certificados foram emitidos inadequadamente
3. Aumentar a velocidade da mitigação desses certificados fraudulentos após sua detecção
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
Crypto ID entrevista: William Bergamo – Padrões técnicos dos protocolos SSL/TLS