E’ stata rilasciata ieri una importante patch per il sistema eIDAS che corregge due importanti vulnerabilità del sistema di identificazione elettronica, autenticazione e servizi fiduciari.
eIDAS è un progetto dell’Unione Europea del 2014 , introdotto con il regolamento (UE) n. 910/2014 che riguarda l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel Mercato europeo comune. Tale sistema consente agli Stati il controllo con banche dati ufficiali delle transazioni elettroniche trasnfrontaliere effettuate in qualsiasi paese e indipendentemente della loro origine.
Il sistema eIDAS ha creato un vero e proprio standard per firme elettroniche, certificati digitali, marche temporali, e altre forme di autenticazione elettronica, consentendo quindi di sostituire documenti cartacei con equivalenti digitali con lo stesso valore legale, aventi riconoscimento ufficiale in tutti i paesi dell’Unione europea.
In Italia tale regolamento è entrato in vigore il 15 settembre 2015 e l’attuazione del sistema eIDAS si è concretizzato con la creazione dello SPID il Sistema Pubblico di Identità Digitale che consente a tutti i cittadini e imprese di poter accedere ai servizi con un’identità digitale unica
eIDAS-Node è il pacchetto software ufficiale che le istituzioni eseguono sui propri server per supportare transazioni compatibili con eIDAS e che comprendono database privati.
Il ruolo cruciale di eIDAS-Node mette sicuramente in primo piano il software utilizzato tanto che una qualsiasi vulnerabilità potrebbe consentire ad aggressori di poter modificare e manomettere qualsiasi transazione digitale effettuata nel territorio UE come ad esempio (non esaustivo) pagamenti fiscali, trasferimenti bancari, spedizioni di merci
DUE VULNERABILITÀ TROVATE IN EIDAS-NODE
In un rapporto condiviso esclusivamente con ZDNet la scorsa settimana, i ricercatori della sicurezza della SEC Consult hanno dichiarato di aver scoperto due di queste vulnerabilità che potrebbero consentire a un utente malintenzionato di presentarsi come qualsiasi cittadino o impresa dell’UE.
I ricercatori della SEC Consult hanno affermato di aver scoperto che le versioni attuali del pacchetto eIDAS-Node non riescono a convalidare i certificati utilizzati nelle operazioni eIDAS, consentendo agli aggressori di falsificare il certificato di qualsiasi altro cittadino e delle azienda eIDAS.
L’attacco è molto semplice. L’attaccante avvia una connessione con un Nodo dei server eIDAS di un qualsiasi stato membro. Lo stesso quindi procede fornendo certificati non autentici procedendo all’autenticazione. Tale opzione è stata fortunatamente scongiurata con il rilascio della nuova patch.
Wolfgang Ettlinger, SEC Consult Senior Security Consultant, in una nota ha dichiarato: “Abbiamo dimostrato questo attacco utilizzando l’applicazione fornita dalla Commissione europea. Pertanto, prevediamo che questo attacco sia attuabile”,
La patch del pacchetto eIDAS-Node è stata rilasciata (v2.3.1), insieme a un avviso di sicurezza che esorta gli Stati membri ad aggiornare eIDAS-Node.
Maggiori informazioni:
https://sec-consult.com/en/blog/advisories/15587/
Patch disponibile sul sito ufficiale eIDAS: https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/All+releases
https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eIDAS-Node+Integration+Package
Fonte: ZDNET