Небольшая ошибка, совершенная компанией D-Link, может очень дорого ей обойтись.

В прошивке с открытым исходным кодом обнаружены закрытые ключи, используемые для подписи приложений, издаваемых D-Link. Хотя на данный момент неизвестно, смогли ли злоумышленники воспользоваться ключами, такая возможность не исключена. Атакующие могли использовать эти ключи для подписи вредоносного ПО, что позволило бы им без лишних трудностей осуществлять атаки.

Голландский веб-сайт Tweakers (переведено через Google Translate) получил информацию об этой проблеме от одного из посетителей, который купил камеру видеонаблюдения D-Link DCS-5020L и скачал прошивку с сайта производителя. Он обнаружил не только сами закрытые ключи, но и кодовые фразы, используемые для подписания программного обеспечения. Сайт Tweakers передал эту информацию ИБ-компании Fox-IT, представители которой подтвердили существование проблемы.

«По всей видимости, ошибку совершил человек, ответственный за подготовку пакетов с исходным кодом. Сертификат присутствовал лишь в одной версии прошивки, — заявил в комментарии Threatpost Ионатан Клейнсма (Yonathan Klijnsma), исследователь из Fox-IT. — В более ранних и более поздних версиях этой прошивки сертификатов обнаружено не было. Скорее всего, это банальная ошибка, связанная с тем, что папку с сертификатами забыли исключить из пакета».

Клейнсма заявил, что обнаружил сертификаты, принадлежащие не только D-Link, но и Starfield Technologies, KEEBOX Inc. и Alpha Networks. Все эти сертификаты просрочены или были аннулированы. Однако сертификат D-Link, изданный 27 февраля, был открыт для злоупотреблений в течение шести месяцев, его срок действия истек 3 сентября.

«Утечка подобного файла крайне нежелательна, так что найти его было крайне непросто», — заявил эксперт.

Утечка сертификата, используемого для подписания кода, может иметь очень серьезные последствия. Разработчики вредоносного ПО используют краденые сертификаты, чтобы их код смог обойти системы защиты. Многие защитные технологии расценят подписанный файл как доверенный и пропустят.

Краденые сертификаты используют также APT-группировки при проведении целевых атак. Известны и подпольные сервисы, оказывающие услуги по подписанию кода. Ярким примером является зловред Destover, использованный в атаках на Sony Pictures Entertainment; он был подписан сертификатом, украденным у Sony. Схожей тактикой воспользовались и злоумышленники, стоявшие за APT-кампанией Duqu 2.0, — для подписания зловредов они использовали сертификат, украденный у китайского вендора.

Клейнсма заявил, что имеющихся данных пока недостаточно, чтобы делать какие-либо выводы об использовании сертификата злоумышленниками.

«Расследование с проверкой образцов вредоносного ПО на сервисы вроде VirusTotal помогло бы прояснить ситуацию, но на VirusTotal есть далеко не все сэмплы, их нужно еще найти», — отметил исследователь.

Категории: Главное