Las autoridades europeas lanzaron hoy un parche para el sistema eIDAS. El parche corrige dos fallas de seguridad que podrían permitir a los atacantes hacerse pasar por cualquier ciudadano o empresa de la UE durante las transacciones oficiales.
representante eIDAS miElectrónica IDENTIFICACIÓNidentificación, UnaAutenticación y Confianza pequeñaAtender. Es un sistema electrónico criptográficamente seguro muy sofisticado para gestionar transacciones electrónicas y firmas digitales entre los estados miembros de la UE, ciudadanos y empresas.
La Unión Europea creó eIDAS en 2014 para permitir que los gobiernos, los ciudadanos y las empresas de los estados miembros realicen transacciones electrónicas transfronterizas, que se pueden verificar en la base de datos oficial de cualquier país, independientemente del estado de origen de la transacción.
eIDAS-Node es el paquete de software oficial que las organizaciones gubernamentales ejecutan en sus servidores para admitir transacciones compatibles con eIDAS en sus bases de datos privadas.
Debido a esta función crítica, cualquier vulnerabilidad en el software eIDAS-Node podría permitir a los atacantes manipular transacciones digitales oficiales de la UE, como pagos de impuestos, transferencias bancarias, envíos de bienes y más.
Dos vulnerabilidades encontradas en eIDAS-Node
En un informe compartido exclusivamente con MarketingyPublicidad.es la semana pasada, los investigadores de seguridad de SEC Consult dijeron que descubrieron dos de esas vulnerabilidades que podrían permitir que un atacante se haga pasar por cualquier ciudadano o empresa de la UE.
Los investigadores de SEC Consult dijeron que descubrieron que la versión actual del paquete eIDAS-Node no verifica los certificados utilizados en las operaciones de eIDAS, lo que permite a un atacante falsificar los certificados de cualquier otro ciudadano o empresa de eIDAS.
Para llevar a cabo el ataque, el atacante simplemente inicia una conexión maliciosa al servidor eIDAS-Node en cualquier estado miembro y proporciona un certificado falsificado durante el proceso de autenticación inicial.
«Hemos demostrado este ataque en nuestra configuración utilizando una aplicación proporcionada por la Comisión Europea. Por lo tanto, en general creemos que este ataque es factible», dijo a Reuters Wolfgang Ettlinger, asesor principal de seguridad de SEC Advisory. MarketingyPublicidad.es en un correo electrónico hoy.
«Sin embargo, no tenemos detalles sobre la configuración u otras medidas de seguridad del sistema de producción implementado», agregó Ettlinger. «Como resultado, no podemos proporcionar información sobre qué estado miembro se ve afectado y en qué medida».
Un portavoz de la división CONNECT de la Comisión Europea reconoció una carta de MarketingyPublicidad.es Pero se negó a comentar públicamente.
El lanzamiento de una actualización del paquete de software eIDAS-Node está programado para hoy (v2.3.1), junto con un boletín de seguridad que insta a los Estados miembros a actualizar el eIDAS-Node.
Los detalles técnicos sobre las dos vulnerabilidades se proporcionan en un aviso de seguridad programado para ser publicado por SEC Consult más tarde hoy.
FOTOS: Juegos de computadora retro jugados en Europa del Este cuando cayó el Telón de Acero