Vulnerabilidad CVE-2021-3011

vulnerabilidad

Se descubrió un problema de canal lateral de ondas electromagnéticas en los microcontroladores de seguridad NXP SmartMX / P5x y en los microcontroladores de autenticación segura A7x, con CryptoLib hasta v2.9

Permite a los atacantes extraer la clave privada ECDSA después de un acceso físico extenso (y en consecuencia producir un clon). Esto se demostró en la llave de seguridad Titan de Google, basada en un chip NXP A7005a. También se ven afectadas otras claves de seguridad FIDO U2F (Yubico YubiKey Neo y Feitian K9, K13, K21 y K40), así como varias tarjetas inteligentes NXP JavaCard (J3A081, J2A081, J3A041, J3D145_M59, J2D145_M59, J3D120D_M60, J3D120_M60, , J2D081_M59, J3D081_M61, J2D081_M61, J3D081_M59_DF, J3D081_M61_DF, J3E081_M64, J3E081_M66, J2E081_M64, J3E041_M66, J3E016_M66, J3E016_M64, J3E041_M64, J3E145_M64, J3E120_M65, J3E082_M65, J2E145_M64, J2E120_M65,

Los tokens de autenticación de dos factores (como los dispositivos de hardware FIDO U2F) el objetivo principal es combatir los ataques de phishing. Nuestro ataque requiere acceso físico a la llave de seguridad de Google Titan , equipo costoso, software personalizado y habilidades técnicas.

Por lo tanto, en lo que respecta a nuestro estudio, sigue siendo más seguro usar su llave de seguridad Google Titan u otros productos afectados como token de autenticación de dos factores FIDO U2F para iniciar sesión en las aplicaciones en lugar de no usar una.

Sin embargo, este trabajo muestra que la llave de seguridad Titan de Google (y otros productos afectados) no evitarían una violación de seguridad inadvertida por parte de los atacantes dispuestos a esforzarse lo suficiente en ello. Los usuarios que enfrentan tal amenaza probablemente deberían cambiar a otras claves de seguridad de hardware FIDO U2F, donde aún no se ha descubierto ninguna vulnerabilidad.

Lista de productos afectados

  • Llave de seguridad Google Titan (todas las versiones)
  • Yubico Yubikey Neo
  • Feitian FIDO NFC USB-A / K9
  • Feitian MultiPass FIDO / K13
  • Feitian ePass FIDO USB-C / K21
  • Feitian FIDO NFC USB-C / K40
  • NXP J3D081_M59_DF y variantes
  • NXP J3A081 y variantes
  • NXP J2E081_M64 y variantes
  • NXP J3D145_M59 y variantes
  • NXP J3D081_M59 y variantes
  • NXP J3E145_M64 y variantes
  • NXP J3E081_M64_DF y variantes

Referencias:

https://ninjalab.io/a-side-journey-to-titan/

https://ninjalab.io/wp-content/uploads/2021/01/a_side_journey_to_titan.pdf

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-01-08. Fecha publicación el 2021-01-08. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST CVE-2020-8281