Исправлены уязвимости ​​в системе аутентификации eIDAS ЕС

Исправлены уязвимости ​​в системе аутентификации eIDAS ЕС

Alexander Antipov

Эксплуатация уязвимостей позволяет выдать себя за любого члена ЕС во время официальных транзакций.

image

Европейские власти выпустили патч для двух уязвимостей в системе авторизации eIDAS (electronic IDentification, Authentication and trust Services), эксплуатация которых позволяет злоумышленнику выдать себя за любого гражданина или предприятие ЕС во время официальных транзакций.

eIDAS представляет собой сложную, криптографически защищенную, электронную систему для управления цифровыми транзакциями и подписями между государствами-членами ЕС, гражданами и предприятиями. Созданная в 2014 году eIDAS позволяет проверять по официальным базам данных транзакции в любой стране, независимо от государства, откуда происходила транзакция.

eIDAS-Node является официальным пакетом программного обеспечения, используемым правительственными организациями на своих серверах для поддержки eIDAS-транзакций в частных базах данных. Поэтому любые уязвимости в программном обеспечении eIDAS-Node могут позволить злоумышленникам вмешиваться в официальные цифровые транзакции ЕС, такие как налоговые платежи, банковские переводы, отгрузки товаров и пр.

Две уязвимости обнаружили исследователи из компании SEC Consult. Их эксплуатация позволяет злоумышленнику выдать себя за любого гражданина или предприятия ЕС. По словам специалистов, текущие версии пакета eIDAS-Node не проверяют сертификаты, используемые в операциях eIDAS, позволяя преступникам подделывать сертификаты любого другого гражданина или предприятия eIDAS.

Для осуществления атаки преступнику нужно инициировать злонамеренное соединение с сервером eIDAS-Node любого государства-члена и предоставить поддельные сертификаты во время начального процесса аутентификации.

Обновление программного пакета eIDAS-Node (v2.3.1), исправляющее данные уязвимости, доступно для загрузки на официальном сайте.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab