Vondrona mpikaroka avy ao amin'ny Ledger, orinasa iray mamokatra kitapom-bola ho an'ny cryptocurrency, vulnerability maromaro amin'ny fitaovana HSM (), izay azo ampiasaina hanesorana ny fanalahidy na hanao fanafihana lavitra hanoloana ny firmware an'ny fitaovana HSM. Mitatitra ny olana amin'izao fotoana izao amin'ny teny frantsay ihany, tatitra amin'ny teny anglisy no kasaina tamin'ny volana aogositra nandritra ny fihaonambe Blackhat USA 2019. Ny HSM dia fitaovana ivelany manokana natao hitehirizana ny lakile ho an'ny daholobe sy tsy miankina ampiasaina hamokarana sonia nomerika sy ho an'ny fanafenana angon-drakitra.
Ny HSM dia mamela anao hampitombo be ny fiarovana, satria mitoka-monina tanteraka amin'ny rafitra sy ny rindranasa, manome API fotsiny amin'ny fanatanterahana ireo primitive kriptografika fototra napetraka eo amin'ny lafiny fitaovana. Amin'ny ankapobeny, ny HSM dia ampiasaina any amin'ny faritra izay itakiana ny fiarovana avo indrindra, toy ny banky, ny fifanakalozana cryptocurrency, ary ny manampahefana fanamarinana amin'ny fanamarinana sy famokarana mari-pankasitrahana sy sonia nomerika.
Ny fomba fanafihana natolotra dia ahafahan'ny mpampiasa iray tsy voamarina hahazo fifehezana feno amin'ny votoatin'ny HSM, ao anatin'izany ny fakana ireo fanalahidy kriptografika rehetra sy ny fahazoan-dΓ lan'ny mpitantana voatahiry ao amin'ny fitaovana. Ny olana dia vokatry ny fibobohan'ny buffer ao amin'ny mpandrindra baiko PKCS#11 anatiny sy ny hadisoana amin'ny fampiharana ny fiarovana firmware kriptografika, izay ahafahanao mandingana ny fanamarinana firmware amin'ny alΓ lan'ny sonia nomerika PKCS#1v1.5 ary manomboka mampiditra ny anao manokana. firmware ao amin'ny HSM.
Amin'ny maha fihetsiketsehana azy dia nisy rindrankajy novaina nalaina, izay nampiana backdoor, izay mijanona ho mavitrika aorian'ny fametrahana ny fanavaozana firmware mahazatra avy amin'ny mpanamboatra. Voalaza fa azo atao lavitra ny fanafihana (tsy voafaritra ny fomba fanafihana, fa mety midika hoe fanoloana ny firmware nalaina na famindrana taratasy fanamarinana manokana ho an'ny fanodinana).
Ny olana dia fantatra nandritra ny fitiliana fuzz momba ny fampiharana anatiny ny baiko PKCS#11 natolotra tao amin'ny HSM. Ny fitsapana dia nokarakaraina tamin'ny fampidirana ny maody ao amin'ny HSM mampiasa SDL mahazatra. Vokatr'izany dia hita ny fihoaran'ny buffer tamin'ny fampiharana ny PKCS#11, izay hita fa azo trandrahana tsy avy amin'ny tontolo anatiny ao amin'ny HSM ihany, fa koa amin'ny fidirana amin'ny mpamily PKCS#11 avy amin'ny rafitra fiasan'ny ordinatera. izay mifandray amin'ny Module HSM.
Avy eo, ny fihoaran'ny buffer dia nohararaotina mba hanatanterahana ny kaody eo amin'ny lafiny HSM ary hanilihana ny masontsivana fidirana. Nandritra ny fandalinana ny famenoana dia nisy vulnerable iray hafa hita izay ahafahanao misintona firmware vaovao tsy misy sonia nomerika. Tamin'ny farany, nisy mody fanao mahazatra nosoratana sy nampidirina tao amin'ny HSM, izay manary ny tsiambaratelo rehetra voatahiry ao amin'ny HSM.
Tsy mbola navoaka ny anaran'ilay mpanamboatra izay nahitana ny vulnerabilities amin'ny fitaovana HSM, saingy voalaza fa ireo fitaovana misy olana dia ampiasain'ny banky lehibe sy mpanome tolotra rahona. Voalaza fa efa nalefa tany amin'ny mpanamboatra teo aloha ny vaovao momba ny olana ary efa nesoriny ny vulnerability tamin'ny fanavaozana farany ny firmware. Ireo mpikaroka tsy miankina dia nanoro hevitra fa ny olana dia mety amin'ny fitaovana avy amin'ny Gemalto, izay tamin'ny volana Mey Sentinel LDK fanavaozana miaraka amin'ny fanafoanana ny vulnerability, fidirana amin'ny vaovao momba izay mbola .
Source: opennet.ru