Il Bug SigSpoof PGP è stato scoperto di essere una minaccia decade-vecchio che consente agli hacker di falsificare le firme e l'identità di qualsiasi utente. Si tratta di un raro esempio in cui un problema di sicurezza è stato disponibile per molti anni e la vulnerabilità è stata scoperta solo ora. PGP è uno degli strumenti di crittografia più utilizzati, utilizzate principalmente in comunicazioni e-mail.
CVE-2.018-12.020: L'impatto della SigSpoof PGP Bug
PGP è il metodo più conosciuto per fornire comunicazioni sicure utilizzando il metodo a chiave pubblica-privata. Tuttavia sembra che una vulnerabilità decade-vecchio era contenuto nel suo nucleo che è stato appena scoperto. Una volta che la comunità di sicurezza ha annunciato il bug SigSpoof PGP praticamente tutte le principali utenze e servizi software sono stati aggiornati rapidamente.
L'advisory di sicurezza fornito CVE-2.018-12.020 mostra che il pacchetto GnuPG (che è la base per tutti i principali implementazioni) strapazza i nomi dei file originali durante le azioni di decrittazione e di verifica. Di conseguenza attaccanti remoti possono falsificare l'uscita delle relative operazioni. Secondo uno degli esperti che ha scoperto il difetto SigSpoof (Marcus Brinkmann) ha scritto che la conseuqnces possono essere devastanti. Il codice di GnuPG è utilizzato in una vasta gamma di servizi, tra cui aggiornamenti software in distribuzioni Linux (per verificare i pacchetti), backup, release del codice sorgente e molto altro ancora.
Secondo l'advisory CVE-2.018-12.020 il bug SigSpoof PGP interessa solo il software che hanno attivato l'opzione verbose. Una pratica di sicurezza è quello di disabilitare di default tuttavia una serie di guide on-line sono stati trovati per consigliarlo.
Le opere di bug di nascondere i metadati in un modo che fa sì che le applicazioni di utilità di trattarlo come il risultato di una verifica della firma. Di conseguenza le applicazioni di posta elettronica mostrano falsamente che i messaggi sono stati firmati da un'identità scelti dagli hacker. I parametri richiesti per eseguire la parodia sono solo una chiave pubblica o il tasto ID.
In una nota correlata in due diverse occasioni insetti aggiuntivi associati con il software client mostra che gli hacker potrebbero hanno approfittato del problema. La prima occasione dimostra che i criminali possono falsificare le firme quando la modalità verbose non è abilitata. L'altro problema individuata consente anche l'esecuzione di codice dannoso in aggiunta alle operazioni spoofing.
Tutti gli utenti che eseguono implementazioni di OpenPGP e relativo codice dovrebbe verificare con i loro fornitori per vedere se hanno patchato la vulnerabilità.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: