Vulnerabilidad en el código ejecutable en el dispositivo físico Cellebrite UFED (CVE-2020-14474)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-798 Credenciales embebidas en el software

Fecha de publicación:

30/06/2020

Última modificación:

10/07/2020

Descripción

El dispositivo físico Cellebrite UFED versiones 5.0 h??asta 7.5.0.845, se basa en material de clave embebido tanto dentro del código ejecutable que admite el proceso de descifrado como dentro de los archivos cifrados mediante el uso de una técnica de envoltura de clave. El material de clave recuperado es el mismo para todos los dispositivos que ejecutan la misma versión del software, y no parece ser cambiado con cada nueva compilación. Es posible reconstruir el proceso de descifrado mediante el uso de material de clave embebido y obtener un fácil acceso a los datos protegidos de otra manera

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno