DigiCert thu hồi hàng loạt chứng chỉ số do lỗ hổng bảo mật tại cổng hỗ trợ

DigiCert vừa thông báo về việc thu hồi các chứng chỉ được cấp phát trái phép sau khi hệ thống cổng hỗ trợ nội bộ của họ trở thành mục tiêu của một cuộc tấn công mạng.

DigiCert Security Incident

Theo báo cáo chi tiết từ công ty, cuộc tấn công diễn ra vào ngày 2 tháng 4. Một tác nhân đe dọa đã nhắm vào đội ngũ hỗ trợ của DigiCert bằng cách gửi tải trọng độc hại thông qua kênh trò chuyện với khách hàng, được ngụy trang dưới dạng một tệp ảnh chụp màn hình.

Chi tiết về cuộc tấn công

Phần mềm độc hại đã lây nhiễm hai thiết bị đầu cuối. Một thiết bị được phát hiện vào ngày 3 tháng 4, nhưng thiết bị thứ hai không được tìm thấy cho đến ngày 14 tháng 4. DigiCert giải thích rằng việc phát hiện chậm trễ thiết bị thứ hai là do các giải pháp bảo mật chạy trên thiết bị đó gặp sự cố.

Từ hệ thống bị nhiễm bệnh, tin tặc đã di chuyển sang cổng hỗ trợ nội bộ của DigiCert. Chúng tận dụng một chức năng truy cập hạn chế để lấy được Chứng chỉ ký mã EV (EV Code Signing certificates).

Quy trình này khả thi vì các chuyên viên hỗ trợ đã xác thực của DigiCert có khả năng truy cập ủy quyền vào tài khoản khách hàng. Điều này cung cấp cho họ quyền truy cập vào các chức năng cụ thể, bao gồm cả mã khởi tạo cho các đơn hàng chứng chỉ ký mã đang chờ xử lý.

"Việc sở hữu mã khởi tạo, kết hợp với một đơn hàng đã được phê duyệt, là đủ để có được chứng chỉ kết quả. Do tác nhân đe dọa có thể thu thập hai thông tin này cho một tập hợp hữu hạn các đơn hàng đã được phê duyệt, chúng đã có thể lấy được chứng chỉ ký mã EV trên một số tài khoản khách hàng và các tổ chức cấp chứng chỉ," DigiCert cho biết.

Hậu quả và các biện pháp khắc phục

Đến ngày 17 tháng 4, công ty đã xác định và thu hồi 60 chứng chỉ liên quan đến sự cố, bao gồm 27 chứng chỉ được liên kết trực tiếp với tin tặc. Trong số này, 11 chứng chỉ đã được cộng đồng báo cáo là được sử dụng để ký cho họ phần mềm độc hại thuộc họ Zhong Stealer.

DigiCert khẳng định trong cuộc điều tra, họ không tìm thấy bằng chứng cho thấy tin tặc đã lạm dụng các hệ thống nội bộ khác ngoài mã khởi tạo ký mã trong các tài khoản cụ thể.

Security Measures

Công ty cho biết tất cả các chứng chỉ có khả năng liên quan đến hoạt động này đã bị thu hồi vào ngày 17 tháng 4, và các đơn hàng đang chờ xử lý đã bị hủy để chặn quyền truy cập của kẻ tấn công.

Ngoài ra, DigiCert đã cải thiện bảo mật và kiểm soát quyền truy cập để thực thi xác thực đa yếu tố (MFA) cho các quy trình quản trị, ngăn chặn quyền truy cập vào mã khởi tạo từ người dùng hỗ trợ ủy quyền, hạn chế các loại tệp có thể được gửi bằng trò chuyện hỗ trợ và tệp đính kèm trường hợp Salesforce, đồng thời cải thiện khả năng ghi nhật ký hệ thống.