Java sürümleri 15 ve üzeri, Eliptik Eğri Dijital İmza Algoritmasının (ECDSA) uygulanmasında, siber suçlular tarafından bazı Güvenli Yuva Katmanı (SSL) sertifikaları, imzalı JSON Web Belirteçleri (JWT’ler) oluşturarak dosyaları dijital olarak imzalamak için yararlanabilecek bir kusur taşır. , ve hatta iki faktörlü kimlik doğrulama mesajları. Sorun ilk olarak geçen yıl keşfedildi ve Oracle’a bildirildi ve sonunda geçen hafta yamalandı. Ancak kuruluşların sistemlerini en son sürümlerle güncellemeleri zaman aldığından, dijital olarak imzalanmış verileri tüketmek için etkilenen Java sürümlerini kullanan tüm cihazlar risk altında olabilir.
Oracle, topluluk arasında bir gaf olarak da adlandırılan sorunu yamaladı. 500’den fazla düzeltmenin parçası. güvenlik açığı olarak izlendi CVE-2022-21449.
Güvenlik danışmanlığı firması ForgeRock’ta araştırmacı olan Neil Madden, güvenlik açığını buldu ve Kasım ayında özel olarak Oracle’a bildirdi. Yazılım şirketi, soruna 10 üzerinden 7,5’lik bir önem derecesi vermiş olsa da, ForgeRock dahil uzmanlar, bunun bir kusur olduğunu düşünüyor. 10 önem derecesi — “farklı işlevler üzerindeki geniş etki yelpazesi nedeniyle” büyük bir etki yaratabilecek.
Güvenlik açığı bulunan sürümlerden birini çalıştırıyorsanız, saldırgan bazı SSL sertifikaları ve el sıkışma türlerini (iletişimlerin kesilmesine ve değiştirilmesine izin vererek), imzalı JWT’leri, SAML iddialarını veya OIDC kimlik belirteçlerini ve hatta WebAuthn kimlik doğrulama mesajlarını kolayca taklit edebilir. boş bir kağıt parçasının dijital eşdeğeri,” Madden yazdı bir blog yazısında.
Siber suçlular ve bilgisayar korsanları, son tüketiciler için farklı etkileri olabilecek kötü amaçlı bir uygulamayı veya dosyayı dijital olarak imzalamak için kusuru kullanabilir. Saldırganların nihayetinde sistemlere arka kapı erişimi elde etmesine ve hatta gerçek ve güvenilir görünen dosya ve verileri kullanarak bir ağı hacklemesine izin verebilir.
Java, anahtar anlaşmasını ve dijital imzaları etkinleştirmek için bilinen ve yaygın olarak benimsenen yaklaşımlardan biri olan eliptik eğri şifreleme ilkelerine dayanan ECDSA’yı kullanır. Araştırmacı, hatanın, Java 15’in piyasaya sürülmesiyle gerçekleşen, yerel C++’dan Java’ya eliptik eğri şifrelemesinin yeniden yazılmasıyla ortaya çıktığını buldu.
Eliptik eğri şifrelemesine dayalı dijital imzalar, tipik olarak, kullanıcıların alıcılara, genel anahtara karşılık gelen özel anahtara erişimleri olduğunu kanıtlamalarını gerektirir. Bu, kimlik doğrulamanın doğrulanmasına yardımcı olur ve kullanıcıların verilere erişmesine olanak tanır. Ayrıca, ilgili özel anahtara erişimi olmayan kullanıcıların el sıkışmaları için dijital imza sunmasını da kısıtlar.
Ancak, kusuru kullanan bir saldırgan, geçerli olarak kabul edilebilecek ve herhangi bir ortak anahtara karşı sistem tarafından doğrulanabilecek boş bir imza kullanabilir.
Madden, bu imzaları “psişik kağıt” olarak adlandırıyor – uzun süredir devam eden bilim kurgu Doctor Who’da ortaya çıkan arsa cihazı. Esasen tamamen boş bir kağıttı, ancak kahramanın başkalarının görmesini istediği şeye dayanarak bir güvenlik geçişi, emir veya kanıt olarak çalışmak üzere tasarlandı.
Araştırmacı, kusuru açıklarken “Bir ECDSA imzası, r ve s adı verilen iki değerden oluşur” dedi. “Bir ECDSA imzasını doğrulamak için, doğrulayıcı r, s, imzalayanın ortak anahtarı ve mesajın bir karmasını içeren bir denklemi kontrol eder. Denklemin iki tarafı eşitse imza geçerlidir, aksi takdirde reddedilir.”
İşlem, hesaplamadaki R ve S’nin sıfır olmaması gerektiği koşulunu içerir. Yine de, Java’nın doğrulamayı uygulamasında durum böyle değil.
“Java’nın ECDSA imza doğrulaması uygulaması, R veya S’nin sıfır olup olmadığını kontrol etmedi, bu nedenle her ikisinin de 0 olduğu (uygun şekilde kodlanmış) bir imza değeri üretebilirsiniz ve Java bunu herhangi bir mesaj için geçerli bir imza olarak kabul eder. ortak anahtar,” dedi Madden.
Güvenlik uzmanı Thomas Ptacek Madden tarafından vurgulanan ciddiyeti yansıtıyor dedim sorunun “yılın kripto böceği” olduğunu söyledi.
Veri güvenliği firması Sophos da bir blog yazısında işaret etti hatanın yalnızca istemci yazılımıyla etkileşime giren Java sunucularını etkilemediğini.
“Ağınızda dijital olarak imzalanmış verileri tüketen herhangi bir cihaz risk altında olabilir” dedi.
Etkilenen Java sürümleri – Java 15 ila 18 – neyse ki önceki sürümleri kadar yaygın olarak kullanılmamaktadır. Şubat-Mart 2021 arasında gerçekleştirilen bir ankette yer alan verilere göre siber güvenlik firması Snyk, dedim Java 11, toplam dağıtımların yüzde 61’inden fazlasını oluştururken, Java 15’in yüzde 12’lik bir payı vardı.
Bununla birlikte, BT yöneticilerine ve kuruluşlarına, gelecekteki saldırıların örneklerini önlemek için Java sürümlerini hızlı bir şekilde güncellemeleri önerilir.