研究人员发现 GoSign Desktop 存在两项关键漏洞:TLS 证书验证禁用漏洞与未签名更新机制漏洞。
GoSign 是由 Tinexta InfoCert 公司开发的高级合格电子签名解决方案,被公共机构、企业及专业人士用于管理具有可追溯性和安全性的审批流程。该产品的 SaaS / 网页版已获得意大利国家网络安全局(ACN)的 “QC2” 认证。
QC2 认证证明服务具备安全处理关键数据的能力,包括公共机构处理的数据。根据 ACN 2024 年 8 月 1 日生效的法规,面向公共实体的云服务提供商必须满足严格的安全与弹性要求。此认证允许公共机构采用经认证的解决方案,以保护敏感数据并确保核心服务的连续性。本文通报的 GoSign Desktop 是本地部署版本,适用于微软 Windows、Linux Ubuntu 及苹果 macOS 系统。
漏洞描述
研究人员在 Tinexta InfoCert 开发的 GoSign Desktop 软件中发现关键漏洞。该平台广泛用于电子文档的签名、验证和管理,仅 2021 年就有 160 万人使用它完成了超过 8.3 亿次签名交易,足见其在意大利及欧洲数字生态系统中的核心地位。
当 GoSign Desktop 配置为使用代理服务器时,会禁用 TLS 证书验证(SSL_VERIFY_NONE),导致加密通信过程中无法确认服务器身份,用户易遭中间人(MitM)攻击。此外,其更新机制依赖未签名的清单文件,所有安全性均依赖本就未经过验证的 TLS 协议。
已验证的攻击场景
- 恶意软件安装(严重):网络攻击者可推送虚假更新,完全控制用户设备。
- 凭证窃取(高危):敏感访问数据可能被拦截。
- 权限提升(高危):在 Linux 系统中,本地用户可通过恶意更新提升权限。
漏洞分析
1. TLS 验证绕过
GoSignDesktop 进程通过 libdgsapi.so 和 libcurl.so 库调用SSL_CTX_set_verify(mode=SSL_VERIFY_NONE),直接禁用 TLS 证书验证,使 TLS 通道的安全属性完全失效。
受影响版本:
- GoSign Desktop 2.4.0(Windows)
- GoSign Desktop 2.4.0(Linux)
- GoSign Desktop 2.4.0(macOS)—— 经厂商确认
1.1 不安全的更新机制
更新过程依赖包含更新包 URL 和哈希值的未签名清单文件。中间人攻击者可修改该清单、替换更新包,并提供匹配的 SHA-256 哈希值,最终实现远程代码执行。
1.2 已验证的安全影响
- OAuth 密钥泄露
- 远程代码执行(RCE)
- 权限提升
鉴于漏洞严重性,已向意大利国家网络安全局 / 意大利计算机应急响应小组(ACN/CSIRT Italia)报告。
1.3 CVSS 3.1 评分
- 得分:8.2(高危)
- 向量:AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
1.4 CWE 映射
- CWE-295:证书验证不当
- CWE-347:加密签名验证不当
- CWE-200:敏感信息向未授权主体泄露
2. 攻击场景详情
2.1 中间人攻击
使用代理时,客户端会接受自签名证书,攻击者可拦截 OAuth 密钥、JWT 令牌、刷新令牌,并篡改更新清单,最终完全控制用户系统。
2.2 权限提升
本地攻击者可修改~/.gosign/dike.conf配置文件,强制推送恶意更新,进而实现权限提升。
漏洞验证视频:https://www.ush.it/team/ush/hack-gosign-desktop_240/gosigndesktop_mitm_poc.mp4漏洞利用代码:https://www.ush.it/team/ush/hack-gosign-desktop_240/
临时解决方案与修复情况
GoSign Desktop 2.4.1 版本(2025 年 11 月 4 日发布)已修复部分漏洞:
- 远程代码执行(RCE)—— 已修复
- 权限提升 —— 已修复
- 因 TLS 绕过导致的信息泄露 —— 未修复(配置代理时仍禁用 TLS 证书验证)
研究人员首次联系厂商后,通过加密邮件及厂商要求的 Teams 会议(2025 年 10 月 16 日 15:00),向其提供了漏洞所有技术细节、漏洞验证代码(PoC)及缓解建议。参会人员包括 InfoCert 安全官与 GoSign Desktop 产品经理,厂商在会议中确认了漏洞存在,并同意将 2025 年 10 月 31 日定为修复发布的合理截止日期。
但此次会议后,厂商终止了所有沟通,未提供任何更新,也未回应后续联系请求。2025 年 11 月 4 日,厂商悄然发布了 2.4.1 版本修复包,未发布任何公告,也未按要求在更新日志中致谢漏洞披露者。
目前,研究人员已就厂商未遵守负责任披露最佳实践的行为,向 ACN/CSIRT Italia 通报。
披露时间线
- 2025 年 10 月 03 日:发现漏洞
- 2025 年 10 月 04 日:开发漏洞验证代码
- 2025 年 10 月 04 日:首次尝试联系 InfoCert 公司
- 2025 年 10 月 04 日:同步向 ACN/CSIRT Italia 通报
- 2025 年 10 月 04 日:收到 ACN/CSIRT Italia 的收悉确认,等待后续进展
- 2025 年 10 月 07 日:收到 InfoCert 网络安全运营团队回复
- 2025 年 10 月 07 日:向厂商共享技术细节与证据
- 2025 年 10 月 09 日:InfoCert 确认收到报告,称问题正在调查中
- 2025 年 10 月 16 日:与 InfoCert 举行技术会议,确认漏洞影响超 100 万用户,共享完整技术细节与修复建议
- 2025 年 10 月 26 日:向厂商发送更新请求,未获回应
- 2025 年 11 月 04 日:2.4.1 版本发布,厂商未做任何沟通,无更新日志
- 2025 年 11 月 08 日:再次发送解释与更新请求,未获回应
- 2025 年 11 月 14 日:向 ACN/CSIRT Italia 提交关于厂商不当处理披露流程的报告
- 2025 年 11 月 14 日:发布本漏洞通报
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容