Vulnerabilidad crítica parcheada en el sistema de autenticación eIDAS de la UE

Union Europea

La vulnerabilidad habría permitido a los atacantes hacerse pasar por cualquier ciudadano o empresa de la UE

eIDAS significa electronic IDentification, Authentication y and trust Services (Identificación electrónica, Autenticación y confianza de Servicios). Es un sistema electrónico muy complejo, con seguridad criptográfica para la gestión de transacciones electrónicas y firmas digitales entre Estados miembros de la UE, ciudadanos y empresas.

La UE creó eIDAS en 2014 para permitir que los gobiernos de los estados miembros, los ciudadanos y las empresas realicen transacciones electrónicas transfronterizas que se pueden verificar en bases de datos oficiales en cualquier país, independientemente del estado de origen de la transacción.

eIDAS-Node es el paquete de software oficial que las organizaciones gubernamentales ejecutan en sus servidores para admitir transacciones compatibles con eIDAS en sus bases de datos privadas.

Debido a este papel crucial, cualquier vulnerabilidad en el software eIDAS-Node puede permitir a los atacantes alterar las transacciones digitales oficiales de la UE, como pagos de impuestos, transferencias bancarias, envíos de bienes y otros.

DOS VULNERABILIDADES ENCONTRADAS EN EIDAS-NODE

En un informe compartido exclusivamente con ZDNet la semana pasada, los investigadores de seguridad de SEC Consult dijeron que encontraron dos vulnerabilidades que podrían permitir a un atacante hacerse pasar por cualquier ciudadano o empresa de la UE.

Los investigadores de SEC Consult dijeron que encontraron que las versiones actuales del paquete eIDAS-Node no validan los certificados utilizados en las operaciones de eIDAS, lo que permite a los atacantes falsificar el certificado de cualquier otro ciudadano o empresa de eIDAS.

Para llevar a cabo el ataque, un actor de amenazas solo necesita iniciar una conexión maliciosa a un servidor de Nodo eIDAS de cualquier estado miembro y suministrar certificados falsificados durante el proceso de autenticación inicial.

“Hemos demostrado este ataque en nuestra configuración utilizando la aplicación proporcionada por la Comisión Europea. Por lo tanto, generalmente esperamos que este ataque sea factible”, dijo Wolfgang Ettlinger, consultor de seguridad senior de SEC Consult, a ZDNet en un correo electrónico hoy.

“Sin embargo, no tenemos información detallada sobre la configuración o medidas de seguridad adicionales de los sistemas de producción implementados”, agregó Ettlinger. “Por lo tanto, no podemos dar información sobre qué estado miembro se vio afectado en qué grado”.

Un portavoz de la división CONNECT de la Comisión Europea reconoció un correo electrónico de ZDNet pero declinó hacer comentarios públicos.

Hoy se lanzará una actualización del paquete de software eIDAS-Node ( v2.3.1 ), junto con un aviso de seguridad que insta a los estados miembros a actualizar eIDAS-Node.

Los detalles técnicos sobre las dos vulnerabilidades están disponibles en el aviso de seguridad de SEC Consult que está programado para entrar en funcionamiento más tarde hoy.

 

Fuente: ZDnet.com

Comments are closed.