据报道，Symantec API漏洞让攻击者窃取私有SSL密钥和证书

该漏洞由信息安全顾问兼Cloud Harmonics讲师克里斯·伯恩（Chris Byrne）发现，该漏洞可能允许未经验证的攻击者检索他人的SSL证书，包括公钥和私钥，以及重新颁发或吊销这些证书。

即使不撤销和重新颁发证书，攻击者也可以使用偷来的SSL证书对安全连接进行“中间人”攻击，诱使用户相信他们在合法网站上，而实际上他们的SSL流量正在被秘密篡改和拦截。

“你只需点击电子邮件中的链接，就可以检索证书、撤销证书并重新颁发证书。”伯恩在周末发布的Facebook帖子中写道。

Symantec knew of API Flaws Since 2015

拜恩说，他在2015年首次发现了赛门铁克证书的相关问题，并同意“有限保密”，因为赛门铁克表示，该公司需要近两年的时间来解决这些问题。

Byrne说：“赛门铁克承诺找到并更换所有可能受到影响的证书，然后更换它们……他们将在六个月内为他们能够识别的每个证书进行更换，并在两年内为每个证书周期进行更换。”。

这名研究人员直到上周才向公众披露任何细节，当时谷歌在发现与赛门铁克及其四家第三方证书转售商存在多个问题后，透露了其计划逐步不信任赛门铁克在谷歌Chrome内部发布的证书。

“考虑到谷歌在这方面的经验和行动，赛门铁克似乎没有像他们承诺的那样解决这些问题。”伯恩说。

然而，伯恩无法证实他发现的漏洞与谷歌工程师上周披露的问题完全相同。

Byrne称，赛门铁克向其第三方分销商提供的证书请求和交付API接受基于URI的UID“没有适当的身份验证，或者在某些情况下根本没有任何身份验证。”

由于API服务器在访问证书信息之前没有对用户进行身份验证，任何具有技术头脑的潜在客户都可以轻松截获包含API生成的链接的电子邮件，或者获取自己的UID并修改其中一个参数。

这最终将允许恶意攻击者访问其他赛门铁克客户的信息，识别高价值目标，并执行自动攻击。

获得对其他用户SSL证书的完全控制

使用相同的API漏洞，攻击者甚至可以完全控制其他客户的证书，包括获取公钥和私钥、撤销证书或使用新密码重新颁发证书。

目前，研究人员和公司都没有发现任何证据来证明这种情况，但伯恩在考虑披露信息时，仅凭这种可能性就足够了。

伯恩补充说：“然后，为他们想要攻击的特定组织或个人泄露DNS就变得微不足道了。到那时，他们可以假装是此人的银行、信用卡公司、雇主或任何人。”。

“也许最糟糕的妥协是欺骗整个公司的补丁和更新服务器。然后该公司的每台机器都可能同时受到威胁。”

据研究人员称，赛门铁克已经解决了一些问题，但不是全部。我们已经联系了赛门铁克，并将在收到赛门铁克的回复后尽快更新报道。

赛门铁克尚未对伯恩的披露做出回应，不过该公司最近发表了两篇博客文章，指责谷歌上个月就其CAs发表了“夸大和误导”的声明。

更新：赛门铁克的回应

赛门铁克已对该API缺陷做出回应，并向黑客新闻提供了以下声明：

“我们已经调查了Chris Byrne的研究主张，无法重现该问题。我们欢迎2015年原始研究以及最新研究的概念证明。此外，我们不知道任何实际情况下的伤害或问题证据。但是，我们可以确认，没有访问私钥，以及这在技术上是不可行的。"

“我们欢迎任何有助于提高社区安全性的反馈。任何想要分享真实场景或概念验证的详细信息的人，请联系我们。”