Vulnerabilidad en MECO USB Memory Stick (CVE-2017-16242)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
22/03/2018
Última modificación:
07/11/2023
Descripción
Se ha descubierto un problema en MECO USB Memory Stick con dispositivos Fingerprint MECOZiolsamDE601. Se puede omitir el requisito de autenticación por huella dactilar para acceder a los datos. Un atacante con acceso físico puede enviar un paquete estático a un puerto en serie expuesto en PCB para desbloquear la clave y obtener acceso a los datos sin poseer la huella necesaria.
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:meco:usb_memory_stick_with_fingerprint_firwmare:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:meco:usb_memory_stick_with_fingerprint:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gist.github.com/audebert/ef6e206a27ededd1386cff48604e9335
- https://www.blackhat.com/docs/us-17/thursday/us-17-Picod-Attacking-Encrypted-USB-Keys-The-Hard%28ware%29-Way.pdf
- https://www.blackhat.com/us-17/briefings/schedule/index.html#attacking-encrypted-usb-keys-the-hardware-way-7443
- https://www.elie.net/talk/attacking-encrypted-usb-keys-the-hardware-way