Американский поставщик решений для шифрования и защиты конфиденциальной информации выпустил патчи для двух критических уязвимостей своих продуктов. Бреши позволяли злоумышленникам обойти системы аутентификации веб-сервисов и приложений, написанных с использованием SDK RSA (software development kit, набор средств разработки).

Уязвимость CVE-2017-14377 затронула веб-агенты EMC RSA, которые обеспечивают аутентификацию на сайтах на базе Apache Web Server. Эти программные элементы запрашивают у посетителя SecurID-информацию, передают ее на центральный сервер и, в зависимости от полученного ответа, разрешают или блокируют вход. Как следует из комментария к патчу, если агент отправлял данные по TCP, злоумышленник мог вызвать специфическую ошибку, чтобы получить неавторизованный доступ к веб-ресурсам.

Вторая брешь — CVE-2017-14378 — потенциально представляет более серьезную угрозу, поскольку касается всех приложений, разработанных в SDK агентов аутентификации RSA для С. Проблема была связана с реализацией асинхронного режима TCP, который ускоряет обработку сетевых данных с разным битрейтом — например, при передаче в одном канале текста, голоса, аудио- и видеосигналов. Эта уязвимость также открывала взломщику доступ из-за сбоя механизма обработки ошибок.

Публикация уязвимостей заставила некоторых пользователей вспомнить, как RSA подозревали в получении денег от Агентства национальной безопасности США. В 2004 году компания включила алгоритм случайных чисел Dual EC DRBG в криптографическую библиотеку BSAFE — она используется во множестве шифровальных продуктов. За разработку этого генератора отвечали специалисты АНБ. Когда три года спустя аналитики Microsoft обнаружили в его коде следы бэкдора, эксперты заподозрили агентство в компрометации криптосистем на базе Dual EC DRBG, а EMC — в пренебрежении клиентами ради финансовой выгоды или благожелательных отношений с государством.

Обвинения нашли подтверждение в материалах Эдварда Сноудена, которые стали достоянием общественности в 2013 году. По сообщению британского IT-издания Register, полученные $10 миллионов позволили закрыть 2004 финансовый год подразделению EMC, которое отвечало за библиотеку BSAFE. По следам разоблачений компания RSA сама предостерегла клиентов от использования проблемного алгоритма. Однако все обвинения в сотрудничестве с АНБ она отвергла, заявив, что строила свои отношения с государством «в качестве поставщика [IT-решений] и как активный член сообщества информационной безопасности».

Категории: Кибероборона, Уязвимости