Erneut Comodo-SSL-Registrar gehackt
Durch eine SQL-Injection-Lücke ließ sich die Datenbank eines brasilianischen Resellers auslesen. Die Angreifer sollen sich diesmal jedoch keine Zertifikate selbst ausgestellt haben.
- Daniel Bachfeld
ComodoBR, brasilianischer Partner des Zertifikatsherausgebers Comodo, ist offenbar einem Angriff zum Opfer gefallen. Dabei wurden per SQL-Injection Teile der Datenbank ausgelesen, darunter Daten von Kunden und deren eingereichte Zertifikatsanträge.
Die Anträge enthalten zwar keine für Angreifer missbrauchbaren Informationen, dennoch handelt es sich um ein schwerwiegendes Sicherheitsproblem, denn die Datensätze enthielten auch Zugangsdaten von Mitarbeitern von ComodoBR. Ob sich ein Unbefugter damit eigene Zertifikate hätte ausstellen können, ist allerdings unklar. Im März gelang es einem Hacker, sich durch eine Schwachstelle in den Servern eines italienischen Comodo-Partners mindestens ein Zertifikat für eine bereits existierende Domain auszustellen. Die Browser-Hersteller mussten daraufhin ein Update zum Sperren der Zertifikate verteilen.
Bei dem aktuellen Angriff hat der Hacker nach eigene Angaben prüfen wollen, wie es um die Sicherheit weiterer Comodo-Partner bestellt ist. Das Python-Tool sqlmap half ihm beim Finden der SQL-Injection-Schwachstellen, wie auf auf Pastebin dokumentiert. Mit der URL
https://www.comodobr.com/comprar/compra_codesigning.php?prod=8 UNION ALL SELECT 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14 -- -
gelang es ihm nach eigenen Angaben, die Tabellen der Datenbank auszulesen.
Comodo betont, dass die eigene Sicherheit durch den Angriff nicht bedroht war. Reseller und Partner hätten keinen Zugriff auf die Datenbanken.
(dab)
