Expertos descubren una técnica que permite evadir la validación del dominio Let’s Encrypt y crear certificados SSL falsos

La investigadora Haya Shulman, del Instituto Fraunhofer para la Tecnología de la Información Segura en Alemania reportó el hallazgo de una vulnerabilidad en Let’s Encrypt que permitiría a los actores de amenazas evadir las medidas de seguridad en este servicio y obtener certificados digitales con facilidad.  La falla reside en el mecanismo usado por Let’s Encrypt para la validación de la propiedad de dominios web.   

Como algunos usuarios sabrán, Let’s Encrypt es una autoridad de certificación sin fines de lucro que brinda a los propietarios de dominio certificados SSL para la autenticación de sus sitios web por medio de HTTPS.

La tecnología empleada actualmente por Let’s Encrypt fue lanzada en febrero de 2020 y fue una respuesta de la organización ante los múltiples ataques de secuestro de cuentas basados en Border Gateway Protocol. Esta nueva tecnología es muy útil para el bloqueo de ataques Manipulartor-in-The-Middle.

Shulman y su equipo lograron demostrar que esta tecnología es vulnerable a un ataque de degradación debido a múltiples factores, principalmente debido a la manipulación de la forma en que los puntos estratégicos seleccionan servidores de nombres en los dominios afectados. Otro factor vulnerable es que los puntos de observación se seleccionan en un conjunto reducido de cuatro sistemas basados en la nube.

Los hallazgos de la investigadora fueron presentados durante su participación en Black Hat el pasado miércoles.

Estos ataques se emplean para engañar al sistema objetivo para que se utilice un servidor de nombres específico introduciendo una alta latencia en las conexiones a otros nodos de validación. En pruebas controladas, los investigadores descubrieron que los atacantes podían lanzar ataques contra prácticamente uno de cada cuatro de los dominios usados por Let’s Encrypt (24.5%).

Shulman también evaluó la efectividad de estos ataques contra otras organizaciones dedicadas a la emisión de certificados de seguridad, descubriendo que la tecnología empleada por Let’s Encrypt es especialmente vulnerable a esta variante de ataque.

Let’s Encrypt es la única autoridad de certificación que utiliza la validación de múltiples perspectivas, pero el ataque también podría ofrecer un medio para atacar las tecnologías de validación utilizadas por otras organizaciones. Se espera que la autoridad de certificación implemente algunas medidas de mitigación en breve.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).