NSA heeft onlangs een waarschuwing uitgebracht over een specifiek type aanval, bekend als de ALPACA-techniek. Kort gezegd, het Agentschap waarschuwt netwerkbeheerders voor het risico van het gebruik van “slecht bereikbare wildcard Transport Layer Security (TLS) certificaten.”
De richtlijnen van de NSA bevatten ook details over de zogenaamde ALPACA-aanval, of applicatielaagprotocollen die aanvallen tussen protocollen toelaten. Met deze techniek krijgen cybercriminelen toegang tot gevoelige informatie.
Allereerst, wat is een wildcard-certificaat?? Het is een certificaat met openbare sleutel dat kan worden gebruikt met meerdere subdomeinen van een domein. Voornamelijk toegepast voor beveiligingswebsites met HTTPS, dit type certificaat kan op veel andere gebieden worden gebruikt, ook.
“Wildcard-certificaten worden gebruikt om meerdere servers te verifiëren en het beheer van referenties te vereenvoudigen, tijd en geld besparen. Echter, als een server die een wildcard-certificaat host, is gecompromitteerd, alle andere servers die door het wildcard-certificaat kunnen worden vertegenwoordigd, lopen gevaar. Een kwaadwillende cyberactor met de privésleutel van een wildcardcertificaat kan zich voordoen als een van de sites binnen het bereik van het certificaat en toegang krijgen tot gebruikersreferenties en beschermde informatie,” NSA zei:.
De ALPACA-aanval: Beperkingen
Wat betreft de ALPACA-techniek, het maakt gebruik van geharde web-apps via niet-HTTP-services die zijn beveiligd met een TLS-certificaat met scopes die overeenkomen met de webtoepassing. De techniek vergroot het reeds bestaande risico van het gebruik van wildcardcertificaten met een slechte scope, het Agentschap heeft toegevoegd:.
Om dit risico te beperken, NSA raadt aan de volgende acties::
- Inzicht in de reikwijdte van elk wildcardcertificaat dat in uw organisatie wordt gebruikt
- Een toepassingsgateway of webtoepassingsfirewall gebruiken voor servers, inclusief niet-HTTP-servers
- Versleutelde DNS gebruiken en DNS-beveiligingsextensies valideren om DNS-omleiding te voorkomen
- Onderhandeling over toepassingslaagprotocol inschakelen (APLN), een TLS-extensie waarmee de server/applicatie waar mogelijk toegestane protocollen kan specificeren
- Webbrowsers onderhouden met de nieuwste versie met actuele updates