Уязвимость в сервисе SecureDrop приводит к утечке данных

Эксплуатация ошибки возможна только во время инсталляции уязвимой версии SecureDrop.

Команда анонимного сервиса для информаторов SecureDrop устранила серьезную уязвимость, позволявшую атакующим перехватывать коммуникации между журналистами и информаторами.

Проблема была выявлена 16 октября нынешнего года в ходе внутреннего тестирования серверов. По сообщению команды SecureDrop, ошибка связана с конфигурационной логикой в процессе установки, в результате которой три пакета – tor, ntp и tor keyring – устанавливаются без должной проверки криптографических подписей. Пакеты передаются по протоколу HTTP, что позволяет злоумышленнику с доступом к сети осуществить атаку «человек посередине», подключиться к серверу и удаленно выполнить код. Уязвимость затрагивает версию SecureDrop 0.3. Более ранние версии проблеме не подвержены.

Эксплуатация ошибки возможна только во время инсталляции SecureDrop. Как отмечается, для проведения атаки хакерам потребуются значительные ресурсы для того, чтобы вести наблюдение за объектом, определить момент установки версии SecureDrop 0.3, осуществить атаку «человек посередине» и своевременно подменить установочные файлы вредоносными. В настоящее время у команды SecureDrop нет информации о случаях эксплуатации данной уязвимости злоумышленниками.

Проблема устранена в выпуске SecureDrop 0.4.4.

SecureDrop – платформа с открытым исходным кодом, которая позволяет новостным медиаорганизациям анонимно и безопасно получатьинформациюи общаться с журналистами и правозащитниками.

Уязвимость в сервисе SecureDrop приводит к утечке данных
Подписывайтесь на канал “SecurityLab” в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.