A DigiCert, uma das maiores autoridades certificadoras globais, anunciou a revogação de certificados digitais após confirmar uma intrusão em seu portal de suporte ao cliente. O incidente, que expôs a infraestrutura interna da empresa, foi iniciado através da entrega de malware por meio de um canal de chat com clientes, resultando na infecção do sistema de um analista e no acesso não autorizado ao portal interno.
Detalhes do incidente e vetor de ataque
O ataque explorou a confiança inerente nos canais de comunicação de suporte técnico. Hackers utilizaram um canal de chat legítimo para entregar malware a um analista da DigiCert. Uma vez que o sistema do analista foi comprometido, os atacantes ganharam acesso à rede interna e ao portal de suporte, onde gerenciam a emissão e o gerenciamento de certificados digitais para milhares de organizações.
A natureza do acesso ao portal de suporte é crítica, pois permite a manipulação de certificados que protegem a comunicação segura na internet. A revogação de certificados é uma medida de contenção necessária para impedir que credenciais comprometidas sejam usadas para interceptar comunicações criptografadas ou se passar por serviços legítimos.
Impacto na cadeia de confiança
A segurança da infraestrutura de chaves públicas (PKI) depende da confiança nas autoridades certificadoras. Quando uma autoridade como a DigiCert é comprometida, a confiança em todos os certificados emitidos por ela pode ser questionada. Isso afeta não apenas as empresas que possuem certificados ativos, mas também a integridade geral da web segura.
Organizações que dependem de certificados da DigiCert para autenticação de servidores, assinaturas de código ou proteção de dados devem monitorar de perto os avisos de revogação e atualizar suas listas de certificados revogados (CRL) ou usar protocolos de verificação de estado de certificado (OCSP) em tempo real.
Medidas de mitigação recomendadas
Para administradores de segurança e CISOs, a recomendação imediata é revisar os certificados emitidos pela DigiCert que estão em uso crítico. A empresa deve ter emitido um aviso detalhado sobre quais certificados específicos foram afetados e quais medidas de revogação foram tomadas.
Além disso, é essencial reforçar os controles de acesso ao portal de suporte, implementando autenticação multifator (MFA) rigorosa e monitoramento de comportamento de usuários (UEBA) para detectar atividades anômalas, como acessos em horários incomuns ou tentativas de download de arquivos suspeitos.
Lições para a indústria
Este incidente reforça a necessidade de segmentação de rede e de princípios de menor privilégio, mesmo para sistemas internos de suporte. O acesso ao portal de suporte não deve conceder privilégios excessivos que permitam a movimentação lateral para sistemas críticos de emissão de certificados.
A DigiCert deve ter realizado uma investigação forense completa para determinar a extensão do comprometimento e garantir que nenhum backdoor permaneça em seus sistemas. A transparência na comunicação com os clientes é fundamental para manter a confiança durante e após um incidente de segurança.
Perguntas frequentes
Quais certificados foram afetados? A DigiCert deve fornecer uma lista específica de certificados revogados. Clientes devem verificar o status de seus certificados ativos.
Como saber se meu sistema está seguro? Verifique se os certificados em uso não estão na lista de revogação e atualize os sistemas de verificação de certificados.
Devo trocar meus certificados? Se houver suspeita de comprometimento ou se a DigiCert recomendar, a substituição dos certificados é a medida mais segura.