Scoperta la tecnica che bypassa la validazione dei certificati Let’s Encrypt e permette di crearne falsi

La ricercatrice Haya Shulman del Fraunhofer Institute for Secure Information Technology in Germania ha segnalato la scoperta di una vulnerabilità critica in Let’s Encrypt che consentirebbe agli autori delle minacce di eludere le misure di sicurezza su questo servizio e ottenere facilmente certificati digitali. La falla risiede nel meccanismo utilizzato da Let’s Encrypt per la convalida della proprietà del dominio web.

Come alcuni utenti potrebbero sapere, Let’s Encrypt è un’autorità di certificazione senza scopo di lucro che fornisce ai proprietari di domini certificati SSL per l’autenticazione dei propri siti Web tramite HTTPS.

La tecnologia attualmente impiegata da Let’s Encrypt è stata rilasciata nel febbraio 2020 ed è stata la risposta dell’organizzazione a più attacchi di dirottamento di account basati sul Border Gateway Protocol. Questa nuova tecnologia è molto utile per bloccare gli attacchi Manipulator-in-The-Middle.

Cosa hanno scoperto

Shulman e il suo team sono stati in grado di dimostrare che questa tecnologia è vulnerabile a un attacco di retromarcia a causa di molteplici fattori, principalmente a causa della manipolazione del modo in cui i punti strategici selezionano i server dei nomi nei domini interessati. Un altro fattore vulnerabile è che i punti di osservazione sono selezionati su un piccolo set di quattro sistemi basati su cloud.

I risultati della ricercatrice sono stati presentati durante la sua partecipazione a Black Hat mercoledì scorso.

Questi attacchi vengono utilizzati per indurre il sistema di destinazione a utilizzare un server dei nomi specifico introducendo un’elevata latenza nelle connessioni ad altri nodi di convalida. In studi controllati, i ricercatori hanno scoperto che gli aggressori possono lanciare attacchi contro quasi uno su quattro dei domini utilizzati da Let’s Encrypt (24,5%).

Shulman ha anche valutato l’efficacia di questi attacchi contro altre organizzazioni dedite all’emissione di certificati di sicurezza, scoprendo che la tecnologia impiegata da Let’s Encrypt è particolarmente vulnerabile a questa variante di attacco.

Conclusioni

Let’s Encrypt è l’unica autorità di certificazione che utilizza la convalida multi-prospettiva, ma l’attacco potrebbe anche offrire un mezzo per attaccare le tecnologie di convalida utilizzate da altre organizzazioni. L’autorità di certificazione dovrebbe attuare a breve alcune misure di mitigazione.