읽기 시간 : 3 분
15 년 2011 월 9 일, Comodo 계열사 RA가 손상되어 XNUMX의 사기 문제가 발생했습니다. SSL 7 개 도메인의 사이트에 대한 인증서 몇 시간 내에 손상이 감지되고 인증서가 즉시 해지되었지만 공격과 의심되는 동기는 전체 보안 필드에 대한 긴급한주의가 필요합니다.
Comodo 루트 키, 중간 CA 또는 보안 하드웨어가 손상된 적이 없었습니다. 인증서 요청의 기본 유효성 검사를 수행 할 권한이있는 계열사에서 손상이 발생했습니다. 이 문제는 해당 도메인의 소유자와 주요 브라우저 제공 업체 및 관련 정부 기관에 즉시보고되었습니다.
이 블로그 게시물에서 나는 현재 이해되는 관련 이벤트를 설정합니다. 더 자세한 정보는 사건 보고서. 다음 게시물에서는 인터넷 보안 위협 모델에 대한 이벤트가 의미하는 내용과 그 이후 게시물에서 필요한 특정 수정 조치를 설정합니다.
공격자가 남부 유럽에있는 Comodo Trusted Partner의 사용자 이름과 비밀번호를 획득했습니다. 해당 파트너가 보유한 다른 온라인 계정 (Comodo가 아닌)도 거의 동시에 손상되었다는 사실 외에는 해당 파트너가 입은 침해의 성격이나 세부 사항에 대해 아직 명확하지 않습니다.
공격자는 사용자 이름과 비밀번호를 사용하여 특정 Comodo RA 계정에 로그인하여 인증서의 사기 문제에 영향을 미칩니다.
공격자는 여전히 위반이 확인되어 계정이 일시 중지되었을 때 계정을 사용하고있었습니다. 공격자는 기회가있을 경우 추가 도메인을 대상으로 할 수 있습니다.
위반이 발견 된 즉시 치료 노력이 시작되었습니다. 인증서가 모두 해지되었으며 해지 확인이 활성화 된 경우 웹 브라우저에서 부정하게 발급 된 인증서를 수락하지 않아야합니다. 자세한 사건 보고서에 설명 된대로 추가 감사 및 제어 기능이 배포되었습니다.
초기 공격의 IP 주소가 기록되었으며이란의 ISP에 할당 된 것으로 확인되었습니다. 웹 설문 조사에 따르면이란 ISP에 할당 된 다른 IP 주소에 배포 된 인증서 중 하나가 밝혀졌습니다. 인증서가 해지 된 직후 해당 서버가 요청에 대한 응답을 중지했습니다.
이란 ISP에 할당 된 두 개의 IP 주소가 포함 된 것은 출처를 암시하지만, 이는 침입자가 잘못된 추적을 시도한 결과 일 수 있습니다.
표적이 된 도메인이 반체제 단체의 인터넷 사용 감시를 시도하는 정부에 가장 많이 사용될 것이라는 점을 주목하지는 않는다. 이 공격은 북아프리카와 걸프 지역의 많은 국가들이 인기있는 시위에 직면하고 있고 많은 논평자들이 인터넷과 특히 소셜 네트워킹 사이트를 시위를위한 주요 조직 도구로 확인한 시점에 발생합니다.
소셜 네트워킹 사이트에 대한 정부의 공격은 새로운 현상이 아닙니다. 2009 년 시위가 일어난 후 이란 사이버 육군이라고 불리는 단체에 의해 트위터가 한 시간 동안 사용 중지되었습니다. 최근 몇 달 동안 이집트와 리비아에서 인터넷이 완전히 중단되었습니다. 튀니지 정부 당국도 소셜 네트워킹 사이트에서 로그인 자격 증명에 대한 공격을 시도했지만 JavaScript 공격을 통해. 에이 London Daily Telegraph의 최근 기사 에 대한 조치 설명 양파 이란의 라우팅 인프라.
이러한 공격에 의해 입증 된 새로운 위협 모델은 다음 포스트에서 더 자세히 고려 될 것입니다.
관련 자료
이메일 보안 테스트 인스턴트 보안 점수를 무료로 받으십시오 출처 : https://blog.comodo.com/other/the-recent-ra-compromise/
