Slo-Tech opozarja na novo varnostno ranljivost Ajpesa

Neimenovani varnostni raziskovalec, ki je tehnološki novičarski portal Slo-Tech v nedeljo kontaktiral prek omrežja Tor, je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja Ajpes. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo Ajpesu.

Zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (t. i. MITM-napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila podpiše poljubno vsebino pod nadzorom napadalca, še piše portal.

Raziskovalec je tudi ugotovil, da podpisna komponenta v nekaterih primerih sploh ne podpisuje dokumentov, pač pa zgolj identifikatorje dokumentov na strežniku Ajpesa. To je po pisanju Slo-Techa problem, saj obstaja možnost, da s posegom npr. administratorja sistema oziroma kogarkoli, ki ima dostop do Ajpesove strežniške infrastrukture, identifikator dokumenta ostane isti, sam dokument na strežniku pa se spremeni.

"Po našem mnenju ne gre samo za varnostno ranljivost, pač pa za popolnoma neustrezno implementacijo digitalnega podpisa, saj podpisna komponenta sploh ne omogoča podpisovanja dejanskih dokumentov. Če drži, da se ne podpisujejo dokumenti, pač pa le njihovi identifikatorji, je celoten sistem popolnoma neustrezen in bi ga Ajpes moral nemudoma prenehati uporabljati," je na Slo-Techu zapisal Matej Kovačič.

Pri tem se po njegovih besedah zastavi tudi vprašanje verodostojnosti in veljavnosti dokumentov, ki so že v sistemu in ki so morda bili neustrezno "podpisani". "Po našem mnenju bi bilo najbolj smiselno, da se verodostojnost in integriteto na neustrezen način podpisanih dokumentov ponovno preveri in ugotovi ali so avtentični ali pa morda spremenjeni," je še zapisal Kovačič.

V Ajpesu so za STA v ponedeljek pojasnili, da bodo na vprašanja v zvezi s to zadevo odgovorili tekom današnjega dne.

To je sicer že druga varnostna problematika v zvezi z Ajpesom, ki jo je v zadnjem času razkril Slo-Tech. V začetku februarja so poročali, da jih je neimenovana oseba obvestila, da ima Ajpes na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami.

Šlo je za ranljivost, kjer je s pomočjo t. i. SQL-vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Ranljivih naj bi bilo večje število zalednih baz, ki vsebujejo tudi množico osebnih podatkov, npr. davčne številke lastnikov, zastopnikov in nadzornikov vseh poslovnih subjektov v poslovnem registru. To ranljivost naj bi bil zmožen izkoristiti vsakdo z nekaj več računalniškega znanja.

O napaki so takoj obvestili predstavnike informacijskega pooblaščenca ter vzdrževalca spletne strani, ostali morebiti zainteresirani naslovniki pa na državni praznik 8. februarja, ko je bila ranljivost razkrita, niso bili dosegljivi.

V Ajpesu so takrat pojasnili, da so bili 8. februarja v večernih urah opozorjeni na omenjeno varnostno ranljivost. Razvijalci in sistemski skrbniki so sicer grožnjo zaznali v popoldanskih urah, v večernih in jutranjih urah po razkritju pa so prepoznano ranljivost tudi odpravili.

Dodali so, da je ranljivost odkril usmerjen, načrtovan in dobro organizirani napad strokovnjakov za informacijsko varnost na spletni portal Ajpes, dobro načrtovan pa da je bil tudi čas napada - na dan kulturnega praznika. Po takratnih ocenah Ajpesa je velika verjetnost, da je ranljivost izrabil zgolj napadalec, katerega cilj naj bi bil očitno opozoriti institucije javnega sektorja na ranljivosti v programski opremi.

V preiskavo okoliščin in obsega incidenta, ki je še v teku, sta vključena urad Informacijskega pooblaščenca in slovenski nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT. Glede na rezultate preiskave bodo sprejeli vse potrebne ukrepe, da se kaj podobnega ne bi več zgodilo, so še poudarili v Ajpesu in dodali, da si sicer ves čas prizadevajo za zagotavljanje potrebne stopnje kibernetske varnosti.

SI-CERT je sicer po takratnem razkritju ranljivosti objavil javno obvestilo o odgovornem razkrivanju ranljivosti, dosegljivo je na spletnem naslovu https://www.cert.si/si-cert-2017-01/.