На веб-ресурсах Казахстана обнаружили новую критическую уязвимость


Национальная платформа поиска уязвимостей TUMAR.ONE  (входит в TSARKA Group) сообщает об обнаружении критической уязвимости Security Misconfiguration. Уязвимость была обнаружена казахстанским исследователем безопасности sad2shade на десятках веб-ресурсов РК. И возникает она из-за отсутствия на стороне информационной системы (ресурса) необходимой верификации (проверки) входящего ЭЦП сертификата с серверами НУЦ РК.

Уязвимость была задекларирована исследователем в рамках национальной платформы BugBounty, когда исследователи ищут уязвимости в согласованных для изучения информационных системах бизнеса и государства, легитимно находят их за вознаграждение и дают время на исправление ошибок. В рамках данной уязвимости, все владельцы платформ, где была обнаружена уязвимость, также были заблаговременно уведомлены.

«Для проверки пользователя на сервер передается цифровая подпись, содержащая сертификат пользователя, он не проверяется должным образом на стороне сервера, что позволяет подделать определенные поля данных в сертификате (ИИН, ФИО, БИН, электронный адрес, совершить обход и получить доступ к личному кабинету клиента от имени любого пользователя (физического и юридического лица) при наличии ИИН и БИН. Важно понимать, что ответственность за эту проблему лежит в первую очередь на владельце или разработчике информационной системе, кто не учел данный вектор атаки», – комментирует Олжас Сатиев, основатель TSARKA Group.

Использование этой уязвимости позволяет злоумышленникам получить доступ к персональной и коммерческой информации и потенциально совершить некоторые действия от имени жертвы, в том числе имеющие юридическую силу (подписание документов), а также получить доступ к клиентам компании и управлять их аккаунтами. 

В ближайшее время TSARKA Group проведет открытый вебинар для СМИ и общественности, чтобы разобрать детали уязвимости, показать риски для пользователей и способы закрытия уязвимости. Также на семинаре раскроют важность внедрения в информационные системы государства и бизнеса процессов безопасной разработки, повышения качества кода и системного подхода к безопасности цифровых продуктов и информационных систем, а также своевременного подключения к программам BugBounty.