Vulnerabilidad en determinadas unidades de Verbatim (CVE-2022-28382)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-327
Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
08/06/2022
Última modificación:
08/08/2023
Descripción
Se ha detectado un problema en determinadas unidades de Verbatim hasta el 31-03-2022. Debido al uso de un modo de encriptación AES no seguro (Electronic Codebook, también se conoce como ECB), un atacante puede ser capaz de extraer información incluso de datos encriptados, por ejemplo, al observar patrones de bytes repetidos. El firmware del controlador de puente USB a SATA INIC-3637EN usa AES-256 con el modo ECB. Este modo de funcionamiento de los cifradores de bloques (por ejemplo, AES) siempre cifra datos de texto plano idénticos, en este caso bloques de 16 bytes, en datos de texto cifrado idénticos. Para algunos datos, por ejemplo las imágenes de mapa de bits, la falta de la propiedad criptográfica llamada difusión, dentro del ECB, puede filtrar información confidencial incluso en los datos cifrados. Por lo tanto, el uso del modo de funcionamiento ECB puede poner en riesgo la confidencialidad de información específica, incluso de forma encriptada. Esto afecta a la unidad Keypad Secure USB versión 3.2 Gen 1, número de pieza 49428, al disco duro portátil Store "n" Go Secure GD25LK01-3637-C VER4.0, a la unidad SSD Executive Fingerprint Secure GDMSFE01-INI3637-C VER1.1 y al disco duro portátil Fingerprint Secure, número de pieza 53650
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:verbatim:keypad_secure_usb_3.2_gen_1_firmware:*:*:*:*:*:*:*:* | 2022-03-31 (incluyendo) | |
| cpe:2.3:h:verbatim:keypad_secure_usb_3.2_gen_1:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:verbatim:store_\'n\'_go_secure_portable_hdd_firmware:*:*:*:*:*:*:*:* | 2022-03-31 (incluyendo) | |
| cpe:2.3:h:verbatim:store_\'n\'_go_secure_portable_hdd:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:verbatim:executive_fingerprint_secure_ssd_firmware:*:*:*:*:*:*:*:* | 2022-03-31 (incluyendo) | |
| cpe:2.3:h:verbatim:executive_fingerprint_secure_ssd:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:verbatim:fingerprint_secure_portable_hard_drive_firmware:*:*:*:*:*:*:*:* | 2022-03-31 (incluyendo) | |
| cpe:2.3:h:verbatim:fingerprint_secure_portable_hard_drive:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/167491/Verbatim-Keypad-Secure-USB-3.2-Gen-1-Drive-ECB-Issue.html
- http://packetstormsecurity.com/files/167500/Verbatim-Store-N-Go-Secure-Portable-HDD-GD25LK01-3637-C-VER4.0-Risky-Crypto.html
- http://packetstormsecurity.com/files/167528/Verbatim-Executive-Fingerprint-Secure-SSD-GDMSFE01-INI3637-C-VER1.1-Risky-Crypto.html
- http://packetstormsecurity.com/files/167532/Verbatim-Fingerprint-Secure-Portable-Hard-Drive-53650-Risky-Crypto.html
- http://seclists.org/fulldisclosure/2022/Jun/18
- http://seclists.org/fulldisclosure/2022/Jun/22
- http://seclists.org/fulldisclosure/2022/Jun/24
- http://seclists.org/fulldisclosure/2022/Jun/9
- http://seclists.org/fulldisclosure/2022/Oct/4
- https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2022-002.txt
- https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2022-006.txt
- https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2022-010.txt
- https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2022-015.txt
- https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2022-044.txt