El artículo analiza un incidente de interceptación legal de comunicaciones TLS (Transport Layer Security) que quedó al descubierto debido a un certificado caducado por falta de renovación. TLS es el protocolo que asegura la comunicación web, basado en una cadena de confianza que comienza en una autoridad de certificación raíz (CA). En este caso, la interceptación legal (presuntamente autorizada) utilizaba certificados firmados por una CA raíz, pero un error operativo —olvidar renovar el certificado— provocó que los usuarios vieran una advertencia de seguridad masiva, lo que desencadenó una investigación detallada.
La investigación se centró en el uso de acme.sh, un script en shell que automatiza la emisión y renovación de certificados mediante el protocolo ACME. El servidor jabber.ru ejecutaba acme.sh para renovar sus certificados. El 18 de abril de 2023, se observaron actividades anómalas relacionadas con una vulnerabilidad de ejecución remota de código en acme.sh, identificada como CVE-2023-38198, divulgada el 8 de junio de 2023. La vulnerabilidad permitía inyectar comandos a través del campo Token del desafío ACME tipo http-01, manipulando la forma en que el cliente procesaba los datos. Se descubrió que la CA 'HiCA' estaba explotando esta vulnerabilidad para emitir certificados, aunque de manera aparentemente benigna (solo para validación PKI). El análisis detallado de la carga útil muestra técnicas de evasión de filtros como el truco IFS (Input Field Separator) para incluir comandos sin espacios. Sin embargo, el autor del artículo no logró reproducir exactamente el ataque debido a la complejidad de los filtros y las capas de preprocesamiento de ACME.
Este tipo de vulnerabilidad tiene aplicaciones en operaciones de interceptación legal, donde actores autorizados (o malintencionados) podrían emitir certificados TLS falsos para realizar ataques de intermediario (MITM). El incidente demuestra que, incluso en operaciones gubernamentales, los errores humanos (como no renovar un certificado) pueden exponer actividades encubiertas. Es relevante para administradores de sistemas, investigadores de seguridad y organismos reguladores.
Como consideraciones, cabe señalar que la vulnerabilidad ya fue parcheada en la versión 3.0.6 de acme.sh (9 de junio de 2023). Sin embargo, el uso de técnicas de evasión como IFS no es exclusivo de este caso; es común en botnets como Mirai. La investigación subraya la dificultad de mantener operaciones de interceptación ocultas y la necesidad de auditorías rigurosas. Alternativas como la fijación de certificados (certificate pinning) o la autenticación multifactor podrían mitigar riesgos similares.