Yubico poinformowało o wykryciu luki w bibliotece kryptograficznej procesora Infineon instalowanego w kluczach YubiKey. W związku z wieloma różnymi informacjami krążącymi na ten temat w internecie, chciałbym uspokoić użytkowników i m.in. w oparciu o informacje od producenta przedstawić szczegóły sprawy.
Co najważniejsze, istnieje niewielka możliwość ataku, Sprawa ma nadany priorytet "severity 4,9/10". To oznacza, że nie jest to błąd krytyczny, a dodatkowo, problem dotyczy niektórych kluczy. Klucze YubiKey serii 5 oraz Security Key od wersji 5.7, oraz YubiKey BIO od wersji 5.7.2 oraz YubiHSM od wersji 2.4 nie są podatne na to zagrożenie. Należy pamiętać, iż ze względów bezpieczeństwa oprogramowanie sprzętowe YubiKey nie ma możliwości aktualizacji.
Kiedy może wystąpić zagrożenie?
Atakujący może wykorzystać ten błąd jedynie w ramach wyrafinowanego i ukierunkowanego ataku. Aby wykorzystać tę lukę do ataku, atakujący musiałby:
Znać konta (w tym loginy i hasła), które chce zaatakować – na przykład w wyniku ataku phishingowego
Mieć fizyczny dostęp do danego klucza YubiKey, Security Key lub Yubi HSM
Rozmontować klucz – demontaż i ponowny montaż bez śladów po tej operacji jest niemożliwy
Posiadać specjalistyczny sprzęt o wartości kilkudziesięciu tysięcy USD
Co zalecamy?
Aby zminimalizować wszelkie ryzyko związane z tą luką w zabezpieczeniach i ogólnie jako najlepszą praktykę, Yubico zaleca, aby użytkownicy zawsze utrzymywali fizyczną kontrolę nad swoimi kluczami YubiKey. Jeśli klucz zostanie kiedykolwiek zgubiony lub skradziony, użytkownicy powinni natychmiast wyrejestrować go ze wszystkich zarejestrowanych usług lub kont i upewnić się, że mają skonfigurowane zapasowe metody uwierzytelniania. Najlepiej jest mieć dwa lub więcej kluczy YubiKey skonfigurowanych w każdej usłudze dla scenariuszy tworzenia kopii zapasowych i odzyskiwania danych.
Z naszej strony sugerujemy jeszcze ustawienia kodu PIN do klucza.
Na koniec dodatkowa informacja.
Wszystkie mikrokontrolery bezpieczeństwa Infineon (w tym moduły TPM), które uruchamiają bibliotekę kryptograficzną Infineon są podatne na atak. Czyli dotyczy to np. e-paszportów wielu krajów europejskich, azjatyckich i USA, bezpiecznej enklawy w telefonach dwóch największych producentów azjatyckich, wybranych modeli portfeli sprzętowe kryptowalut, kart SIM, TPM w laptopach czołowych dostawców, chipów w kartach kredytowych i debetowych
Mam nadzieję, że powyższe wyjaśnienia uspokoją Was i wskażą najlepsze kroki, jakie należy podjąć w przyszłości. Jeśli masz dalsze pytania lub potrzebujesz dodatkowej pomocy, skontaktuj się z nami. Jesteśmy tutaj, aby pomóc!
Szczegółowe informacje dotyczące luki można znaleźć w oficjalnym poradniku bezpieczeństwa: Security Advisory YSA-2024-03.
Dla zainteresowanych, ciekawe artykuły z dwóch niezależnych polskich portali zajmujących się cyberbezpieczeństwem - Niebezpiecznik oraz Sekurak
Comments