HeadSetup та HeadSetup Pro встановлювали кореневі сертифікати, що дозволяють легко отримати закриті ключі

Компанія Sennheiser помилково поставила у складі додатків HeadSetup та HeadSetup Pro два кореневих сертифікати разом із закритими ключами, до яких зловмисники могли легко отримати доступ та використовувати їх для підробки сертифікатів, офіційних сайтів тощо.

ПО HeadSetup та HeadSetup Pro є так званими «софтфонами» - програмами для здійснення дзвінків через інтернет або з комп'ютера без необхідності використання фізичних телефонів.

На проблему звернули увагу фахівці компанії Secorvo, які виявили, що версії HeadSetup 7.3, 7.4 та 8.0 встановлюють два кореневі сертифікати у сховищі довірених кореневих сертифікатів Windows, а також зберігають закриті ключі у файлі SennComCCKey.pem. Вразливість набула ідентифікатор CVE-2018-17612.

Більше того, версія HeadSetup для macOS також встановлює сертифікати, причому позбутися їх, встановивши оновлення або повністю видаливши ПЗ, поки неможливо. Як зазначають дослідники, будь-яка система, на якій були встановлені програми HeadSetup, залишається вразливою доти, доки користувач не видалить сертифікати зі сховища або термін їхньої дії не закінчиться (13 січня 2027 року або 27 липня 2037 року).

Компанія Sennheiser визнала наявність проблеми та вилучила програми зі свого сайту. Наразі розробники готують оновлення, яке, за їхніми словами, видалить кореневі сертифікати та встановить нові, які не допускають витоку закритих ключів.

Фахівці Microsoft опублікували власне попередження, а також оновили внутрішній список довірених сертифікатів (Certificate Trust List, CTL), виключивши з нього вищезазначені.

Користувачі, які не хочуть чекати виходу оновлення від Sennheiser, можуть вручну видалити сертифікати зі сховища за допомогою інструкцій у звіті Secorvo (розділ 7.2). Sennheiser також опублікувала посібник з видалення сертифікатів із Windows-комп'ютерів і систем на базі macOS.