GlobalSign: ComodoHacker nutzte ungepatchte Open-Source-Software

GlobalSign hat öffentlich gemacht, wie es „ComodoHacker“ vergangenen Herbst gelungen ist, in einen seiner Server einzudringen und sein digitales Zertifikat zu entwenden. Der Angriff war durch eine nicht gepatchte Open-Source-Software möglich, wie ein Topmanager des Dienstleisters ZDNet Großbritannien mitteilte.

Das Programm war nicht aktualisiert worden, weil es nicht auf einer Liste mit proprietärer Software stand, die gepatcht werden musste, sagte das Mitglied der Geschäftsführung. In seinen Worten: „Es gab da eine alte, nicht gepatchte Version einer Komponente. Es war ein Stück Open-Source-Code, der nicht in die Versionswartung einbezogen war.“

Der Vorfall hatte aber nach Aussage von GlobalSign keine Auswirkungen auf das Root-Zertifikat. Der Server mit diesem Zertifikat sei nicht mit dem Internet verbunden. Um darauf zuzugreifen, müsse man einen Rechner aus einem verschlossenen Depot entnehmen sowie sich mit einer Reihe von Smartcards und mehreren PINs authentifizieren. Der von ComodoHacker geknackte Server sei auch nicht der Mailserver von GlobalSign gewesen. Der Eindringling habe aber auf das Unternehmenszertifikat und einige PDF-Dateien zugreifen können.

Im September hatte GlobalSign nach dem Vorfall seine Zertifikatsausgabe neun Tage lang ruhen lassen. Die Systeme wurden neu aufgebaut.

Schon damals sagte der für eine Untersuchung angeheuerte Sicherheitsdienstleister Fox-IT, der betroffene Server sei ein externer Marketing-Server. Der Eindringling könne sich mit dem Zertifikat möglicherweise als GlobalSign ausgeben. Das Root-Zertifikat, das nötig ist, um anderen Firmen Zertifikate zuzuweisen, sei nicht betroffen gewesen.

GlobalSign kämpft offenbar immer noch mit der Aufarbeitung des Vorfalls und gibt Informationen heraus, um seinen geschädigten Ruf aufzupolieren. Im Dezember 2011 teilte es beispielsweise mit: „ComodoHacker hat die falschen Systeme erwischt.“ Der Hacker erwies sich als 21-jähriger Iraner, der zuvor bei einem anderen Sicherheitsanbieter – Comodo – eingedrungen war und auch ihm Zertifikate gestohlen hatte. Seine weiteren Angriffe galten den Certificate Authorities DigiNotar und StartCom.

Die Einbrüche zeigten die Schwächen des Systems zur Authentifizierung von Websites auf, das auf mehr als 600 Firmen weltweit basiert, denen die Vergabe digitaler Zertifikate anvertraut wurde. SSL-Zertifikate sollen gewährleisten, dass ein Nutzer mit der von ihm gewünschten Website verbunden ist. Die Herausgeber der Zertifikate verwenden allerdings weder einheitliche Sicherheitsstandards, noch gibt es ein Standardverfahren, um gefälschte Zertifikate für ungültig zu erklären.

[mit Material von Tom Espiner, ZDNet.co.uk]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago