Kritična ranljivost v Infineonovi kriptografski knjižnici ogroža varnost naprav YubiKey in YubiHSM 2
Varnostni strokovnjaki so odkrili kritično ranljivost v Infineonovi kriptografski knjižnici, ki se uporablja v napravah YubiKey 5 Series, Security Key Series in YubiHSM 2. Ta ranljivost bi lahko potencialno omogočila napadalcem, da si opomorejo zasebne ključe, shranjene na teh napravah, kar predstavlja pomembno varnostno grožnjo. Naprave z zastarelo vdelano programsko opremo so še posebej izpostavljene.
Ranljivost vpliva na več aplikacij
Ranljivost primarno vpliva na primere uporabe FIDO, lahko pa vpliva tudi na PIV, OpenPGP in aplikacije YubiHSM 2, odvisno od konfiguracije. Yubico je hitro ukrepalo in odpravilo težavo z zamenjavo Infineonove knjižnice z lastno kriptografsko implementacijo, kar zmanjšuje tveganje prihodnjih ranljivosti v dobavni verigi.
Posodobitve vdelane programske opreme kot rešitev
Yubico je izdal posodobitve vdelane programske opreme za njihove varnostne ključe in HSM-je, ki odpravljajo varnostno ranljivost. Med prizadete naprave spadajo YubiKey 5 Series, YubiKey 5 FIPS Series, YubiKey Bio Series, Security Key Series, YubiHSM 2 in YubiHSM 2 FIPS. Da bi zmanjšali tveganje, Yubico priporoča uporabnikom, da posodobijo svoje naprave na zadnje različice vdelane programske opreme:
- 5.7.0 ali novejšo za YubiKey 5 Series, Security Key Series in YubiHSM 2
- 5.7 in novejšo za YubiKey 5 FIPS Series (FIPS predložitev v teku)
- 5.7.2 ali novejšo za YubiKey Bio Series
Kdo je prizadet?
YubiKey 5, 5 FIPS, 5 CSPN in Bio Series verzije, pred 5.7, Security Key Series vse verzije pred 5.7 ter YubiHSM 2 in 2 FIPS verzije pred 2.4.0 so ranljive za varnostna tveganja. Te naprave morda imajo zastarelo vdelano programsko opremo, ki bi jo lahko zlonamerni akterji izkoristili, kar bi potencialno kompromitiralo občutljive podatke in avtentikacijske procese. Uporabnikom teh naprav močno priporočamo, da posodobijo svojo vdelano programsko opremo na najnovejšo razpoložljivo različico, da omilijo te ranljivosti.
Kako ugotoviti, če je vaša naprava prizadeta?
Za določitev, ali uporabniki vplivajo na ranljivost YubiKey ali YubiHSM 2, najprej uporabite Yubico Authenticator za identifikacijo modela in verzije vašega YubiKey. Serija in model bosta prikazana v zgornjem levem kotu domačega zaslona.
Za YubiHSM 2, se povežite z njim s pomočjo YubiHSM SDK in izvedite ukaz ‘get deviceinfo’ za pridobitev njegove verzije. S primerjanjem teh verzij z znanimi ranljivimi verzijami lahko uporabniki ocenijo svoje tveganje in sprejmejo ustrezne ukrepe, kot je posodobitev vdelane programske opreme ali sledenje varnostnim obvestilom.
Tehnične podrobnosti ranljivosti
Infineonova kriptografska knjižnica je ranljiva na napad z bočnim kanalom, ki bi lahko potencialno kompromitiral zasebne ključe ECDSA, ki se uporabljajo v napravah YubiKey in YubiHSM. Ta ranljivost vpliva na podpisovanje in overjanje v FIDO, PIV, OpenPGP in YubiHSM 2. Napadalec s fizičnim dostopom in specializirano opremo bi lahko izkoristil to ranljivost z opazovanjem ranljive operacije. Za uspešen napad bi morda potreboval dodatne informacije, kot so podatki o računu ali avtentikacijski ključi, kar bi lahko vodilo do pridobitve zasebnih ključev in povzročilo nepooblaščen dostop ali ponarejanje podpisov.
Priporočeno branje:
URL izvora novice: https://cyberpress.org/hackers-can-clone-your-device-by-extracting-secret-keys/