He pūʻulu o nā mea noiʻi mai Ledger, kahi hui e hana ana i nā wallets hardware no ka cryptocurrency, kekahi mau mea palupalu i nā polokalamu HSM (), hiki ke hoʻohana ʻia e wehe i nā kī a i ʻole e hoʻokō i kahi hoʻouka mamao e pani i ka firmware o kahi mea HSM. Ke hōʻike nei i kēia pilikia ma Palani wale nō, ua hoʻolālā ʻia ka hōʻike ʻōlelo Pelekania i ʻAukake i ka wā o ka hālāwai kūkā ʻo Blackhat USA 2019. ʻO ka HSM kahi mea hana waho kūikawā i hoʻolālā ʻia e mālama i nā kī ākea a pilikino i hoʻohana ʻia no ka hoʻopuka ʻana i nā pūlima kikohoʻe a no ka hoʻopili ʻana i ka ʻikepili.
Hāʻawi ʻo HSM iā ʻoe e hoʻonui nui i ka palekana, no ka mea, hoʻokaʻawale loa ia i nā kī mai ka ʻōnaehana a me nā noi, hāʻawi wale i kahi API no ka hoʻokō ʻana i nā primitive cryptographic kumu i hoʻokō ʻia ma ka ʻaoʻao o ka hāmeʻa. ʻO ka maʻamau, hoʻohana ʻia ʻo HSM ma nā wahi kahi e koi ʻia ai ka pae kiʻekiʻe o ka palekana, e like me nā panakō, nā hoʻololi cryptocurrency, a me nā mana palapala hōʻoia no ka hōʻoia ʻana a me ka hana ʻana i nā palapala hōʻoia a me nā pūlima kikohoʻe.
ʻO nā ʻano hana hoʻouka i manaʻo ʻia e ʻae i ka mea hoʻohana pono ʻole e loaʻa ka mana piha ma luna o nā mea o ka HSM, me ka unuhi ʻana i nā kī cryptographic āpau a me nā hōʻoia hoʻokele i mālama ʻia ma ka hāmeʻa. Hoʻokumu ʻia nā pilikia ma muli o ke kahe ʻana o ka pahu i loko o ka mea hoʻoponopono kauoha PKCS#11 a me ka hewa i ka hoʻokō ʻana i ka pale cryptographic firmware, kahi e hiki ai iā ʻoe ke kāpae i ka hōʻoia firmware me ka hoʻohana ʻana i ka pūlima kikohoʻe PKCS#1v1.5 a hoʻomaka i ka hoʻouka ʻana i kāu iho. firmware i loko o ka HSM.
Ma ke ʻano he hōʻike, ua hoʻoiho ʻia kahi firmware i hoʻololi ʻia, kahi i hoʻohui ʻia ai kahi backdoor, e hoʻomau mau nei ma hope o ka hoʻokomo ʻana i nā hoʻonui firmware maʻamau mai ka mea hana. Ua ʻōlelo ʻia hiki ke hoʻokō ʻia ka hoʻouka ʻana ma kahi mamao (ʻaʻole i kuhikuhi ʻia ke ʻano o ka hoʻouka ʻana, akā ʻo ia paha ke ʻano o ka hoʻololi ʻana i ka firmware i hoʻoiho ʻia a i ʻole ka hoʻoili ʻana i nā palapala hōʻoia i hāʻawi ʻia no ka hana).
Ua ʻike ʻia ka pilikia ma ka hoʻāʻo ʻana o ka fuzz o ka hoʻokō kūloko o nā kauoha PKCS#11 i manaʻo ʻia ma HSM. Ua hoʻonohonoho ʻia ka hoʻāʻo ʻana ma ka hoʻouka ʻana i kāna module i ka HSM me ka hoʻohana ʻana i ka SDL maʻamau. Ma muli o ka hopena, ua ʻike ʻia ka hoʻonui ʻana o ka buffer i ka hoʻokō ʻana i ka PKCS#11, ka mea i hoʻohana ʻia ʻaʻole wale mai ke kaiapuni kūloko o ka HSM, akā ma ke komo ʻana i ka mea hoʻokele PKCS#11 mai ka ʻōnaehana hana nui o ka kamepiula. kahi i hoʻopili ʻia ai ka module HSM.
A laila, ua hoʻohana ʻia ka buffer overflow e hoʻokō i ke code ma ka ʻaoʻao HSM a kāpae i nā ʻāpana komo. I ka wā o ke aʻo ʻana i ka hoʻopiha ʻana, ua ʻike ʻia kekahi mea nāwaliwali e hiki ai iā ʻoe ke hoʻoiho i ka firmware hou me ka ʻole o kahi pūlima kikohoʻe. ʻO ka hope loa, ua kākau ʻia kahi module maʻamau a hoʻouka ʻia i loko o ka HSM, kahi e hoʻolei ai i nā mea huna a pau i mālama ʻia ma ka HSM.
ʻAʻole i hōʻike ʻia ka inoa o ka mea hana i nā mea HSM i ʻike ʻia nā nāwaliwali, akā ua ʻōlelo ʻia ua hoʻohana ʻia nā mea pilikia e kekahi mau panakō nui a me nā lawelawe lawelawe kapua. Ua hōʻike ʻia ua hoʻouna mua ʻia ka ʻike e pili ana i nā pilikia i ka mea hana a ua hoʻopau ʻo ia i nā nāwaliwali i ka hōʻano hou firmware. Manaʻo nā mea noiʻi kūʻokoʻa e pili ana ka pilikia i nā polokalamu mai Gemalto, i Mei Hoʻohou ʻo Sentinel LDK me ka hoʻopau ʻana i nā nāwaliwali, loaʻa i ka ʻike e pili ana i ka mea .
Source: opennet.ru