Podatność w Smallstep Step-CA umożliwia nieuwierzytelnione wydawanie certyfikatów poprzez protokół SCEP (Simple Certificate Enrollment Protocol) za pośrednictwem operacji UpdateReq. Jest to krytyczna luka, ponieważ pozwala atakującemu uzyskać ważne certyfikaty PKI bez jakiejkolwiek weryfikacji tożsamości.
▸ Pokaż oryginał (EN)
Step CA is an online certificate authority for secure, automated certificate management for DevOps. Versions 0.30.0-rc6 and below do not safeguard against unauthenticated certificate issuance through the SCEP UpdateReq. This issue has been fixed in version 0.30.0.
Wersje Step-CA do 0.30.0-rc6 włącznie nie wymuszają uwierzytelnienia podczas obsługi żądania SCEP UpdateReq. Atakujący może wysłać spreparowane żądanie UpdateReq do publicznie dostępnego endpointu SCEP bez podawania jakichkolwiek poświadczeń. System nie weryfikuje tożsamości nadawcy, co klasyfikuje podatność jako błąd uwierzytelniania (CWE-287) oraz nieprawidłową weryfikację certyfikatu (CWE-295). W efekcie urząd certyfikacji wystawia ważny certyfikat niezaufanemu podmiotowi.
Atakujący bez żadnych uprawnień może zdalnie uzyskać ważne certyfikaty PKI wydane przez zaufany urząd certyfikacji, co może prowadzić do podszywania się pod inne systemy, przechwytywania ruchu sieciowego (man-in-the-middle) oraz naruszenia integralności i poufności infrastruktury opartej na certyfikatach.
Należy zaktualizować Smallstep Step-CA do wersji 0.30.0 (lub co najmniej 0.30.0-rc7), w której problem został naprawiony. Patche dostępne są w repozytorium GitHub projektu oraz w oficjalnych release notes.
Smallstep Step-CA w wersjach 0.30.0-rc6 i wcześniejszych korzystających z protokołu SCEP
Podatność dotyczy wyłącznie instalacji Step-CA z aktywną obsługą protokołu SCEP. Poprawka została opublikowana w commicie e6da031d5125cfd99fe9a26f74bb41e4dacca4ef oraz opisana w security advisory GHSA-q4r8-xm5f-56gw na GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:NSmallstep Step Ca
APPSmallstep0.30.0< 0.30.0