Schwachstellenhinweis VU#971035- Das Simple Certificate Enrollment Protocol (SCEP) authentifiziert Zertifikatsanforderungen nicht streng
CLEVELAND, OH - 28. Juni 2012. Forscher von Certified Security Solutions, Inc. (CSS), einem führenden Unternehmen für Informationssicherheit, haben ein potenziell schwerwiegendes Sicherheitsproblem im Zusammenhang mit der Verwendung des Simple Certificate Enrollment Protocol (SCEP) in Verbindung mit mobilen Geräten aufgedeckt. Organisationen, die SCEP nutzen, um digitale Zertifikate für mobile Geräte auszustellen, sind möglicherweise einem Angriff zur Ausweitung von Berechtigungen ausgesetzt.
Das Problem wird nicht durch einen Implementierungsfehler in einem einzelnen Produkt oder durch ein Problem mit dem SCEP-Protokoll selbst verursacht, sondern vielmehr durch eine Kombination von Funktionen, Konfigurationen und Anwendungsfällen, die zusammen eine bisher ungeahnte Angriffsmöglichkeit eröffnen. Mobile Device Management (MDM)-Systeme, die SCEP nutzen, um Zertifikate für die Authentifizierung in Unternehmenssystemen wie Wi-Fi, VPN oder ActiveSync auszustellen, gehören zu den am stärksten betroffenen Szenarien.
Certified Security Solutions arbeitet seit mehreren Wochen mit dem US-CERT und dem CERT/CC an der Carnegie Mellon University zusammen, um Benachrichtigungen und die Weitergabe von Informationen über die richtigen Kanäle zu erleichtern. Der offizielle US-CERT-Schwachstellenbericht ist unter folgendem Link zu finden: https://www.kb.cert.org/vuls/id/971035
"Wir raten allen Unternehmen, die SCEP oder ein Mobile Device Management System zusammen mit einer unternehmensweiten Public Key Infrastructure verwenden, sich genauer anzusehen, ob sie betroffen und gefährdet sind", so Ted Shorter, Chief Technology Officer von CSS. "Wir haben auf unserer Website einen Bereich eingerichtet, in dem die Schwachstelle und die Schritte, die Unternehmen unternehmen können, um sich zu schützen, näher erläutert werden."
Besuchen Sie dieses Informationsportal online unter www.css-security.com/scep.
Über CSS
CSS ist ein Dienstleistungsunternehmen für Informationssicherheit mit Niederlassungen in ganz Nordamerika und Hauptsitz in Cleveland, Ohio. Wir haben uns auf drei wichtige Bereiche der Informationssicherheit spezialisiert: Identitäts- und Zugriffsmanagement, sichere Infrastruktur und Governance sowie Risiko und Compliance. CSS bietet Beratungsdienste, verwaltete Sicherheitsdienste, Sicherheit als Service und Sicherheitstools software an, um die Bedürfnisse unserer Kunden zu erfüllen. Weitere Informationen und eine vollständige Liste der Niederlassungen erhalten Sie unter www.css-security.com oder per E-Mail an software@css-security .com
