Güvenli elemanlar, çoğunlukla sırları üretip depolayarak ve kriptografik işlemleri gerçekleştirerek hizmet veren küçük mikrodenetleyicilerden oluşur.
NinjaLab’den Thomas Roche, Infineon Technologies’in kripto kütüphanesinde, popüler YubiKey 5 Serisi de dahil olmak üzere çeşitli güvenli öğeleri ve FIDO donanım token’larını etkileyen büyük bir güvenlik açığı buldu.
EUCLEAK adı verilen güvenlik açığı, ECDSA uygulamasındaki bir kusurdan yararlanıyor ve sabit zamanlı olmayan modüler ters çevirme işlemini içeriyor.
Söz konusu güvenlik açığı, tehdit aktörlerinin gizli anahtarları çıkararak cihazları klonlamalarına olanak sağlıyor.
Teknik Analiz
Thomas, bu güvenlik açığının saldırganların geçici olarak fiziksel olarak orada bulunmasına olanak tanıdığını, Elektromanyetik Analiz olarak bilinen etik olmayan bir uygulama kullanarak güvenli anahtarları ele geçirmelerine olanak sağladığını söyledi. Bu yöntem, bir cihazın iç işleyişini yeniden yapılandırmak için güç dalgalanmalarını izliyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Bu güvenlik açığı, YubiKey 5 Serisi (5.7’den düşük donanım yazılım sürümleri) dahil olmak üzere Infineon SLE78 MCU’larda geliştirilen aygıtları etkiliyor ve Optiga Trust M ve Trust Platform Module güvenlik yongaları gibi yeni Infineon ürünlerine bile uzanıyor.
Şaşırtıcı bir şekilde, bu güvenlik açığı yaklaşık seksen üst düzey güvenlik ortak kriteri sertifikasyon programından geçmesine rağmen 14 yıl boyunca tespit edilemedi.
Bu güvenlik açığı YubiKey 5 Serisi ve Güvenlik Anahtarı Serisi’nin yanı sıra 2.4.0’dan önceki aygıt yazılımına sahip YubiHSM 2’yi etkiliyor.
Bunun dışında, kusurun CVE kimliği hala işleniyor, ancak “4,9” CVSS Önem Puanı aldı ve “YSA-2024-03” izleme kimliğiyle izlendi.
Etkileri oldukça kapsamlıdır, çünkü bu bileşenleri kullanan bir dizi güvenli sistem potansiyel olarak riske girebilir ve bu bileşenler şunları içerir:
- Elektronik pasaportlar
- Kripto para donanım cüzdanları
- Akıllı araba sistemleri
- Akıllı ev sistemleri
Saldırı, fiziksel erişim, özel ekipman ve teknik becerilerle mümkün olsa da tehdit aktörlerinin FIDO cihazlarını toplayıp kopyalarını çıkararak, bu cihazların asıl amacı olan kimlik avına karşı etkili güvenliği ortadan kaldırmalarına olanak tanıyabilir.
Araştırmacılar, bu güvenlik açığına rağmen, bu tehlikeye atılmış FIDO token’larını kullanmanın, hiçbir donanım güvenlik önlemi olmamasından daha iyi olacağını belirtti.
YubiKey Sürümünüzü Belirleyin
- Cihazınızda Yubico Authenticator uygulamasını açın.
- YubiKey’inizin modelini ve sürümünü Ana ekranda bulun.
- Sol üst köşede seri ve model listelenecektir.
- Örnek: YubiKey’iniz YubiKey 5C NFC ise sürüm 5.7.0 olabilir.
YubiHSM 2 Sürümünüzü Belirleyin
- Sisteminizde YubiHSM SDK’nın yüklü olduğundan emin olun.
- Terminalinizi veya komut isteminizi açın.
- Aşağıdaki komutları sırayla yürütün:
- $ yubihsm-bağlayıcı -d
- $ yubihsm-kabuğu
- $ yubihsm> bağlan
- $ yubihsm> cihaz bilgilerini al
Söz konusu açığın kullanılabilmesi için cihazın fiziksel olarak ele geçirilmesi ve ayrıca PIN kodlarının veya şifrelerin mevcut olması gerekiyor.
Söz konusu güvenlik açığı esas olarak FIDO kullanım durumlarını etkileyecek olup, uygulamaya bağlı olarak PIV ve OpenPGP kullanımını da etkileyebilecektir.
Algoritma seçimi YubiHSM 2 kullanımını da etkileyebilir.
Yukarıda belirtilen risklerden kaçınmak ve tedarik zinciri riskini en aza indirmek için Yubico, sonraki yazılım sürümlerinde Infineon’un kütüphanesini kullanmayı bıraktı ve yazılıma kendi kriptografik çözümlerini uyguladı.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!