darask
New member
Недавно были 2 уязвимости, позволяющие преступникам выдавать себя за любого гражданина или предприятия Евросоюза. Эти уязвимости были найдены сотрудниками компании SEC Consult. По их словам, нынешние версии компонента eIDAS-Node пропускают любые сертификаты, используемые в операциях eIDAS. Это делает возможным подделать сертификаты любого другого лица или фирмы.
eIDAS (electronic IDentification, Authentication and trust Services) представляет собой весьма сложную, защищенную шифрованием, электронную систему управления цифровыми транзакциями и подписями между государствами-членами Евросоюза, гражданами и кампаниями. Она появилась в 2014 году и позволяет проверять по официальным БД транзакции в любой стране, при этом не имеет значения из какого государства происходила транзакция.
Данное программное обеспечение является официальным пакетом, которое используют правительственные организации на своих серверах для поддержки eIDAS-транзакций в частных базах данных. Потому любые недоработки в программном обеспечении eIDAS-Node дают возможность злоумышленникам вмешиваться в официальные цифровые транзакции Евросоюза, например налоговые платежи, банковские переводы, отгрузки товаров и прочее.
Для произведения атаки злоумышленнику надо создать соединение с сервером eIDAS-Node любого государства Евросоюза и предоставить сертификаты-подделки во время первого процесса аутентификации.
Евросоюз уже сделал фикс для этих 2 уязвимостей в системе авторизации eIDAS. Обновление программных компонентов eIDAS-Node (v2.3.1), убирающее эти уязвимости, выложено на официальном сайте и доступно для скачки.
eIDAS (electronic IDentification, Authentication and trust Services) представляет собой весьма сложную, защищенную шифрованием, электронную систему управления цифровыми транзакциями и подписями между государствами-членами Евросоюза, гражданами и кампаниями. Она появилась в 2014 году и позволяет проверять по официальным БД транзакции в любой стране, при этом не имеет значения из какого государства происходила транзакция.
Данное программное обеспечение является официальным пакетом, которое используют правительственные организации на своих серверах для поддержки eIDAS-транзакций в частных базах данных. Потому любые недоработки в программном обеспечении eIDAS-Node дают возможность злоумышленникам вмешиваться в официальные цифровые транзакции Евросоюза, например налоговые платежи, банковские переводы, отгрузки товаров и прочее.
Для произведения атаки злоумышленнику надо создать соединение с сервером eIDAS-Node любого государства Евросоюза и предоставить сертификаты-подделки во время первого процесса аутентификации.
Евросоюз уже сделал фикс для этих 2 уязвимостей в системе авторизации eIDAS. Обновление программных компонентов eIDAS-Node (v2.3.1), убирающее эти уязвимости, выложено на официальном сайте и доступно для скачки.