Odkrita nova resna varnostna ranljivost v AJPES-ovi podpisni komponenti

Potem, ko je bila pred časom že najdena varnostna ranljivost na prenovljenih straneh AJPES-a, ko je bilo v celoti dosegljivih vsaj 59 podatkovnih baz, ki zajemajo praktično vse osebne podatke državljanov, je bila na njihovih straneh odkrita nova resna varnostna ranljivost.

Kot poročajo na blogu Pravokator, se je na njih (in na SI-CERT) v nedeljo preko omrežja Tor obrnil neimenovan varnostni raziskovalec, ki je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja AJPES. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo AJPES-u. Ker je bilo obvestil v zvezi s to spletno stranjo iz različnih virov v zadnjem času kar precej in ker gre v tem primeru res za jagodni izbor, smo se odločili prejeto obvestilo objaviti nemudoma.

Varnostni raziskovalec je ugotovil, da zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (tim. MITM napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila podpiše poljubno vsebino pod nadzorom napadalca.

A to še ni vse. Raziskovalec je tudi ugotovil, da podpisna komponenta v nekaterih primerih sploh ne podpisuje dokumentov, pač pa zgolj identifikatorje dokumentov na strežniku AJPES-a. To je seveda problem, saj obstaja možnost, da s posegom (npr. administratorja sistema oz. kogarkoli, ki ima dostop do AJPESove strežniške infrastrukture) identifikator dokumenta ostane isti, sam dokument na strežniku pa se spremeni… več informacij in kako postopati najdete na blogu.