Команда анонимного сервиса для информаторов SecureDrop устранила серьезную уязвимость, позволявшую атакующим перехватывать коммуникации между журналистами и информаторами.
Проблема была выявлена 16 октября нынешнего года в ходе внутреннего тестирования серверов. По сообщению команды SecureDrop, ошибка связана с конфигурационной логикой в процессе установки, в результате которой три пакета — tor, ntp и tor keyring — устанавливаются без должной проверки криптографических подписей. Пакеты передаются по протоколу HTTP, что позволяет злоумышленнику с доступом к сети осуществить атаку «человек посередине», подключиться к серверу и удаленно выполнить код. Уязвимость затрагивает версию SecureDrop 0.3. Более ранние версии проблеме не подвержены.
Эксплуатация ошибки возможна только во время инсталляции SecureDrop. Как отмечается, для проведения атаки хакерам потребуются значительные ресурсы для того, чтобы вести наблюдение за объектом, определить момент установки версии SecureDrop 0.3, осуществить атаку «человек посередине» и своевременно подменить установочные файлы вредоносными. В настоящее время у команды SecureDrop нет информации о случаях эксплуатации данной уязвимости злоумышленниками.
Проблема устранена в выпуске SecureDrop 0.4.4.
SecureDrop — платформа с открытым исходным кодом, которая позволяет новостным медиаорганизациям анонимно и безопасно получать информацию и общаться с журналистами и правозащитниками.
Источник: securitylab.ru
