Zertifikate: Trustico verwundbar für Root-Code-Injection

Eine Sammlung von privaten Schlüsseln von Kunden war wohl nicht das einzige Problem beim Zertifikatsaussteller Trustico. Verschiedene Personen posteten auf Twitter Screenshots von Code-Injection-Angriffen über die Webseite des Zertifikatsausstellers. Diese liefen dabei sogar mit Root-Rechten.

Golem hatte heute berichtet, dass 23.000 Zertifikate, die von Trustico verkauft wurden, gestern zurückgezogen wurden. Der Hintergrund: Trustico hatte die privaten Schlüssel zu diesen Zertifikaten und bei Digicert eine Revocation beantragt. Die Zertifikate waren ursprünglich von Symantec ausgestellt worden.

Command Substitution erlaubt Codeausführung mit Root-Rechten

Der Vorfall führte nun dazu, dass sich einige Leute die Webseite von Trustico genauer angeschaut haben. Das Formular, in das man einen Domainnamen zur Verifizierung einträgt, war dabei offenbar für eine Script-Injection-Attacke anfällig.

Mittels einer Command-Substitution konnte man dort Befehle ausführen, beispielsweise indem man dort eine Eingabe der Form $(curl http://example.com/) eintrug. Das deutet darauf hin, dass die Eingabedaten von Trustico ungeprüft an ein Kommandozeilentool übergeben werden.

Doch nicht nur das: Die Befehle wurden offenbar auch mit Root-Rechten ausgeführt. Damit wäre es einem Angreifer trivial möglich gewesen, den Server zu übernehmen.

Die Webseite von Trustico ist inzwischen offline, zurzeit ist dort nur eine Meldung "Service Unavailable" zu sehen.