Un simple error por el fabricante de equipo de red D-Link podría haber abierto la puerta a daños costosos.
Las llaves privadas utilizadas para firmar el software publicado por D-Link se encontraron en paquetes de firmware de código abierto de la compañía. Si bien no se sabe si las llaves fueron utilizadas por terceros maliciosos, existe la posibilidad de que podrían haber sido utilizadas por algún hacker para firmar malware, facilitándole la ejecución de ataques.
Un sitio web de tecnología holandes llamado Tweakers (traducido a través de Google Translate) fue alertado del problema por uno de sus lectores que había comprado una cámara de seguridad D-Link DCS-5020L y descargado el firmware desde el fabricante. El lector no sólo encontró las llaves privadas, sino también frases (passphrases) necesarias para firmar software. Tweakers lo entregaron a la empresa de seguridad holandesa Fox-IT, que confirmaron las conclusiones.
"Creo que esto fue un error por quien empaqueto el código fuente de la publicación. El certificado de firma de código sólo estaba presente en uno de los paquetes de código fuente con una versión específica," dijo el investigador de Fox-IT Yonathan Klijnsma. "La versión de posterior y anterior del paquete específico no contenía la carpeta en la que los certificados de firma de código residían. Un simple error de exclusión de carpetas por lo que yo pude ver ".
Klijnsma dijo que encontró los certificados no sólo de D-Link, sino también de las tecnologías de Starfield, Keebox Inc. y Alpha Networks. Todos los certificados han expirado o ha sido revocados. El certificado de D-Link, sin embargo, fue publicado el 27 de febrero y fue expuesto por más de seis meses antes de que expirara el pasado 3 de septiembre.
"Como se trata de un archivo que realmente no quieres filtrar, yo no diría que es tan fácil encontrarlo", dijo Klijnsma.
La fuga de un certificado de firma de código legítimo tiene consecuencias potencialmente graves. El uso de certificados digitales robados es una táctica común entre los autores de malware y los atacantes buscan una manera para obtener que su código pase por los sistemas de seguridad. Muchas tecnologías de seguridad van a confiar en los archivos que están firmados y dejarlos pasar.
Muchos grupos de la APT han hecho uso de certificados perdidos o robados para firmar malware utilizado en ataques selectivos; existen servicios del mercado negro que ofrecen servicios de firma de código. Por ejemplo, el malware eliminador Destover utilizado en los ataques contra Sony Pictures Entertainment se firmó con un certificado robado de Sony. Una táctica similar fue utilizada por los atacantes detrás de la campaña de APT Duqu 2.0, utilizando un certificado robado de un fabricante de tecnología china para firmar malware.
Klijnsma dijo que no hay manera de saber con la investigación inicial si se abusó del certificado de D-Link.
"Una investigación a través de muestras de malware en servicios como VirusTotal podría concluir esto pero por supuesto no todo el malware está en VirusTotal; tiene primero que ser descubierto", dijo.
Las llaves privadas utilizadas para firmar el software publicado por D-Link se encontraron en paquetes de firmware de código abierto de la compañía. Si bien no se sabe si las llaves fueron utilizadas por terceros maliciosos, existe la posibilidad de que podrían haber sido utilizadas por algún hacker para firmar malware, facilitándole la ejecución de ataques.
Un sitio web de tecnología holandes llamado Tweakers (traducido a través de Google Translate) fue alertado del problema por uno de sus lectores que había comprado una cámara de seguridad D-Link DCS-5020L y descargado el firmware desde el fabricante. El lector no sólo encontró las llaves privadas, sino también frases (passphrases) necesarias para firmar software. Tweakers lo entregaron a la empresa de seguridad holandesa Fox-IT, que confirmaron las conclusiones.
"Creo que esto fue un error por quien empaqueto el código fuente de la publicación. El certificado de firma de código sólo estaba presente en uno de los paquetes de código fuente con una versión específica," dijo el investigador de Fox-IT Yonathan Klijnsma. "La versión de posterior y anterior del paquete específico no contenía la carpeta en la que los certificados de firma de código residían. Un simple error de exclusión de carpetas por lo que yo pude ver ".
Klijnsma dijo que encontró los certificados no sólo de D-Link, sino también de las tecnologías de Starfield, Keebox Inc. y Alpha Networks. Todos los certificados han expirado o ha sido revocados. El certificado de D-Link, sin embargo, fue publicado el 27 de febrero y fue expuesto por más de seis meses antes de que expirara el pasado 3 de septiembre.
"Como se trata de un archivo que realmente no quieres filtrar, yo no diría que es tan fácil encontrarlo", dijo Klijnsma.
La fuga de un certificado de firma de código legítimo tiene consecuencias potencialmente graves. El uso de certificados digitales robados es una táctica común entre los autores de malware y los atacantes buscan una manera para obtener que su código pase por los sistemas de seguridad. Muchas tecnologías de seguridad van a confiar en los archivos que están firmados y dejarlos pasar.
Muchos grupos de la APT han hecho uso de certificados perdidos o robados para firmar malware utilizado en ataques selectivos; existen servicios del mercado negro que ofrecen servicios de firma de código. Por ejemplo, el malware eliminador Destover utilizado en los ataques contra Sony Pictures Entertainment se firmó con un certificado robado de Sony. Una táctica similar fue utilizada por los atacantes detrás de la campaña de APT Duqu 2.0, utilizando un certificado robado de un fabricante de tecnología china para firmar malware.
Klijnsma dijo que no hay manera de saber con la investigación inicial si se abusó del certificado de D-Link.
"Una investigación a través de muestras de malware en servicios como VirusTotal podría concluir esto pero por supuesto no todo el malware está en VirusTotal; tiene primero que ser descubierto", dijo.
