Các lỗ hổng nằm trong dịch vụ định danh, xác thực và tin cậy điện tử (eIDAS). Dịch vụ này đã đi vào hoạt động trong 5 năm, được thiết kế như một cầu nối an toàn giữa tất cả các hệ thống hành chính và định danh khác nhau của 28 quốc gia tạo nên khối thương mại lớn nhất thế giới.
Về cơ bản, người dùng có thể sử dụng eIDAS để ký tài liệu, nộp thuế, đăng ký các khóa học đại học, mở tài khoản ngân hàng, truy cập các dịch vụ công cộng,... tại một quốc gia EU được sử dụng danh tính kỹ thuật số do chính phủ của một quốc gia EU khác cấp. Ví dụ, một người ở Pháp có thể sử dụng ID điện tử do Chính phủ Pháp cấp để truy cập các dịch vụ trực tuyến ở Ý thông qua eIDAS để nhận dạng.
Qua các lỗ hổng, dịch vụ này có thể bị lợi dụng để giả danh người khác, phần nào phá vỡ toàn bộ sự tin cậy và xác thực mà hệ thống cung cấp. Những nơi đang sử dụng phần mềm eIDAS-Node như nhiều quốc gia thành viên EU cần phải cập nhật lên phiên bản 2.3.1 trở lên để tránh những lỗ hổng bảo mật này.
Tuy nhiên, phạm vi của các lỗ hổng khá hạn chế vì phần mềm này được các quốc gia sử dụng để nói chuyện với các hệ thống của các quốc gia khác. Do đó, nó có thể được sử dụng bởi các tổ chức của một quốc gia để lừa đảo rằng mình là công dân của quốc gia khác.
Hiện nay, EU đã phát hành bản vá và gửi thông báo đến các nhà quản trị của các quốc gia. SEC Consult khuyến cáo nên áp dụng ngay bản vá. Ngoài ra, công ty cũng khuyên các đơn vị vận hành eIDAS-Node nên tiến hành điều tra xem liệu lỗ hổng này đã bị khai thác trong thực tế hay chưa.
Lỗ hổng trong phần mềm eIDAS-Node
Chuyên gia bảo mật Wolfgang Ettlinger của công ty bảo mật SEC Consulting đã tìm thấy và báo cáo các lỗ hổng này. Lỗ hổng tồn tại trong thành phần xác thực xuyên biên giới của phần mềm eIDAS-Node, cho phép kẻ tấn công có thể mạo danh bất kỳ công dân EU nào.
Quá trình xác thực được minh hoạ như sơ đồ dưới đây. Nếu một công dân Ý muốn xác thực với dịch vụ trực tuyến của Đức, trước tiên, eIDAS-Node của Đức (eIDAS-Connector) được ứng dụng web hướng dẫn để khởi tạo quá trình xác thực. Nó sẽ gửi một yêu cầu tới eIDAS-Node của Ý (eIDAS-Service). eIDAS-Node của Ý chuyển tiếp thông tin người dùng đến một hệ thống được trang bị để xác thực công dân Ý bằng cách sử dụng chương trình eID quốc gia. Sau khi xác thực, eIDAS-Connector của Đức sẽ nhận được thông tin công dân mà nó chuyển tiếp đến ứng dụng web.
Quá trình xác thực các dịch vụ trực tuyến
Các lỗ hổng nằm trong đoạn mã mà eIDAS xử lý các chứng thực mật mã được gửi tới trong quá trình này. Nhà phát hành chứng thực không được kiểm tra; giá trị trả về của lệnh gọi hàm xác thực trong lớp OpenSAML ExplicitKeyTrustEvaluator để xác định liệu chứng chỉ có đáng tin cậy hay không đã bị bỏ qua. Phần mềm đã được xử lý bất kể kết quả nhận về là gì. Cuối cùng, chứng thực bảo mật có thể bị giả mạo, do đó có thể mạo danh người khác. Vì vậy, cần kiểm tra nhà phát hành chứng thực mã hóa và không bỏ qua các giá trị trả về của các hàm, đặc biệt là các hàm kiểm tra nguồn khóa mật mã có thể được tin cậy hay không.
Lỗ hổng này đã được báo cáo một cách bí mật vào tháng 7/2019. Có lẽ, nó mới xuất hiện trong vòng chưa đầy một năm vì năm 2018, Đại học Ruhr Bochum ở Đức đã tiến hành một thử nghiệm trên hệ thống và rất có thể đã phát hiện ra lỗ hổng nếu nó đã tồn tại vào thời điểm đó. Vì vậy, có thể lỗ hổng này mới xuất hiện trong khoảng thời gian giữa cuộc kiểm tra năm 2018 và tháng 6/2019, khi SEC Consult bắt đầu xem xét mã nguồn của hệ thống.
Nguyễn Anh Tuấn
theo The Register
07:00 | 04/11/2019
16:00 | 24/10/2019
11:00 | 06/01/2020
16:00 | 23/12/2019
08:00 | 28/10/2019
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024