Vulnerabilidad en GnuPG permitió falsificación de firmas digitales durante décadas

Share this…

vulnerabilidad-gnupg

Una falla que afecta a GnuPG ha hecho que algunos de los programas de encriptación de correo electrónico más utilizados sean vulnerables a la falsificación de firmas digitales. La lista de programas afectados incluye Enigmail y GPGTools.

Acerca de la vulnerabilidad (CVE-2018-12020)

La vulnerabilidad CVE-2018-12020, apodada SigSpoof por Marcus Brinkmann, el investigador que la encontró, surgió a partir de “elecciones de diseño débiles”. Acorde al especialista, la rutina de verificación de firmas en Enigmail 2.0.6.1, GPGTools 2018.2 y python-gnupg 0.4.2 permite a los atacantes remotos falsificar firmas a través del parámetro de “nombre de archivo”.

“El atacante puede controlar los identificadores de clave, los especificadores de algoritmo, los tiempos de creación y los identificadores de usuario, y no necesita ninguna de las claves privadas o públicas implicadas”, agrega Brinkmann.

El investigador compartió varias muestras de los diversos ataques posibles, como suplantación de la firma, suplantación de la firma y del cifrado, y suplantación de la firma en la línea de comandos.

En colaboración con un pirata informático cercano, también encontró la vulnerabilidad CVE-2018-12019 que permite un ataque similar (suplantación de firmas) pero específicamente dirigido a Enigmail.

Actualizaciones de Seguridad

El error CVE-2018-12020 se encuentra en las versiones de GnuPG 0.2.2 a 2.2.7, en Enigmail 2.0.6.1 y anteriores, en GPGTools 2018.2 y anteriores, y en python-gnupg 0.4.2 y anteriores.

Todos estos paquetes ya se han actualizado, por lo que si está utilizando alguno de ellos, asegúrese de actualizar a la última versión disponible.

Cualquier software se verá potencialmente afectado. Si usa GnuPG en su aplicación, debe verificar que no se ve afectado, y considerar algunas medidas de seguridad adicionales, agregan especialistas del Instituto Internacional de Seguridad Cibernética.

Brinkman se muestra preocupado de que la vulnerabilidad tenga el potencial de afectar una gran parte de la infraestructura central, ya que además de utilizarse para la seguridad del correo electrónico, GnuPG también se utiliza para proteger respaldos, actualizaciones de software y código fuente en sistemas de control.