Nieuws
woensdag 4 september 2024, 15:24 door Redactie, 16 reacties
Laatst bijgewerkt: 04-09-2024, 15:47
Verschillende modellen YubiKeys van fabrikant Yubico zijn kwetsbaar voor een side-channel-aanval waardoor een aanvaller private keys kan stelen en een kloon kan maken. Yubico heeft nieuwe versies uitgebracht om het probleem te verhelpen. Omdat de firmware van YubiKeys niet is te updaten, blijven oude versies permanent kwetsbaar. Volgens de fabrikant zou misbruik onderdeel van een 'geraffineerde en gerichte aanval' moeten zijn en moet een aanvaller fysieke toegang tot de YubiKey hebben.
YubiKeys zijn fysieke beveiligingssleutels waarmee gebruikers op hun accounts kunnen inloggen. Een kwetsbare cryptolibrary in de Infineon security microcontroller waar de sleutels gebruik van maken, maakt het mogelijk om via een side-channel-aanval de ECDSA secret key te achterhalen, aldus de onderzoekers van NinjaLab die het probleem ontdekten (pdf). Ze stellen dat hiervoor een paar minuten genoeg is. De kwetsbaarheid is al veertien jaar in de aanwezige library aanwezig, zo laten ze verder weten. Het uitvoeren van de aanval zou zo'n 10.000 euro aan materiaal kosten.
Bij een side-channel-aanval weet een aanvaller door alleen de werking van een apparaat, protocol of algoritme vertrouwelijke informatie af te leiden. In dit geval is de side-channel de hoeveelheid tijd die nodig is voor een wiskundige berekening, ook bekend als 'modular inversion'. De cryptolibrary van Infineon maakt geen gebruik van een bekende side-channel-verdediging genaamd constant time. Deze maatregel zorgt ervoor dat de berekeningstijd niet afhankelijk is van de invoer.
De kwetsbaarheid is aanwezig in YubiKey 5, YubiKey 5 FIPS, YubiKey 5 CSPN, YubiKey Bio, Security Key, YubiHSM 2 en YubiHSM 2 FIPS. NinjaLab informeerde Yubico op 19 april over het probleem. Op 21 mei verscheen YubiKey 5.7 waarin het probleem is verholpen. Afgelopen maandag kwam YubiHSM 2.4 uit, waarop gisteren het beveiligingsbulletin van Yubico verscheen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 4.9.
AIVD-toezichthouder krijgt op 1 juli 2026 definitief nieuwe locatie
Witte Huis komt met plannen om BGP-kwetsbaarheden aan te pakken
Reacties (16)
Reageer met quote
04-09-2024, 15:35 door Anoniem
Dat is dan wel weer het nadeel van de read-only firmware, dat gebruikers niet de nieuwe firmware kunnen flashen.
Ben benieuwd of Yubico de keys gratis laat vervangen.
Reageer met quote
04-09-2024, 15:54 door Anoniem
Door Anoniem: Dat is dan wel weer het nadeel van de read-only firmware, dat gebruikers niet de nieuwe firmware kunnen flashen.
Ben benieuwd of Yubico de keys gratis laat vervangen.
Dat is in dit geval inderdaad een nadeel, maar het grote voordeel van een RO firmware is dat het niet overschreven/ aangepast kan worden :-)
Reageer met quote
04-09-2024, 16:01 door Anoniem
Door Anoniem: Dat is dan wel weer het nadeel van de read-only firmware, dat gebruikers niet de nieuwe firmware kunnen flashen.
Ben benieuwd of Yubico de keys gratis laat vervangen.
Dat laatste verwacht ik niet, bij de meeste keys is de prijs daar niet naar. Uitgezonderd misschien de HSM's, die zijn dusdanig duur dat ik vervanging terecht zou vinden.
Dat maakt uiteraard een voordeel voor yubico: Je moet nieuwe keys kopen, en alternatieven met dezelfde functionaliteit zijn er amper, dus grote kans dat je weer bij yubico aanklopt.
Reageer met quote
04-09-2024, 16:23 door Anoniem
En ze moeten wel fysieke toegang tot jouw Yubikey hebben, dus als je ook maar een beetje alert bent, lukt dat niet zo maar...
Reageer met quote
04-09-2024, 16:24 door Anoniem
Door Anoniem:
Door Anoniem: Dat is dan wel weer het nadeel van de read-only firmware, dat gebruikers niet de nieuwe firmware kunnen flashen.
Ben benieuwd of Yubico de keys gratis laat vervangen.
Dat laatste verwacht ik niet, bij de meeste keys is de prijs daar niet naar. Uitgezonderd misschien de HSM's, die zijn dusdanig duur dat ik vervanging terecht zou vinden.
Dat maakt uiteraard een voordeel voor yubico: Je moet nieuwe keys kopen, en alternatieven met dezelfde functionaliteit zijn er amper, dus grote kans dat je weer bij yubico aanklopt.
Yep.
Nu zijn yubikeys natuurlijk het troetelkind van security/open source nerds, dus zijn "we" coulant en begripvol voor een apparaat(je) dat blijkbaar End Of Support is vanaf het moment van aankoop "want secure".
Maar owee als een telefoonfabrikant na jaren geen updates meer wil maken en je maar het nieuwe model moet kopen.
Reageer met quote
04-09-2024, 16:38 door Anoniem
Door Anoniem:
Door Anoniem: Ben benieuwd of Yubico de keys gratis laat vervangen.
Dat laatste verwacht ik niet, bij de meeste keys is de prijs daar niet naar.
Op hun website zie ik dat ze een jaar garantie geven op "material and workmanship" en het ding verder "as is" leveren.
https://www.yubico.com/support/terms-conditions/yubico-license-agreement/ (punt 5)
Dat lijkt geen garantie op de firmware te zijn, ook al kan je die niet upgraden. Ik vraag me af of die beperking in de EU wel mag.
Reageer met quote
04-09-2024, 16:43 door _R0N_
Door Anoniem: En ze moeten wel fysieke toegang tot jouw Yubikey hebben, dus als je ook maar een beetje alert bent, lukt dat niet zo maar...
Maar als ze dat wel krijgen weten ze waarschijnlijk ook waar je hem voor gebruikt.
Reageer met quote
04-09-2024, 17:41 door Anoniem
Vandaag kom ik er (tot mijn grote schrik) achter dat ik nooit een firmware update voor de printer heb uitgevoerd.
Maar dat is nu gelukkig verholpen.
Soms denk je er gewoon niet bij na (ja sorry jongens beveiliging), dat is helaas ook realiteit. Maar dat oude Yubi keys niet zijn te updaten, dat is een enorme schok (naar mijn bescheiden idee). Dit had ik nooit gedacht van een beveiligingssleutel.
Reageer met quote
04-09-2024, 17:48 door Erik van Straten
Het zijn sowieso krengen van dingen, die niet helpen als jouw hardware (computer, smartphone, tablet, ...) of software (OS, browser, plug-ins) is gecompromitteerd.
Nadat mijn eerste Yubikey véle jaren geleden hackbaar bleek (en ik nog wel een gratis vervanging van Yubico had kunnen krijgen) heb ik het opgegeven en dat ding als relikwie bewaard. Wat een uitzichtloze ondingen, en nu opnieuw lek.
Reageer met quote
04-09-2024, 18:17 door Anoniem
beter gewoon Windows Hello gebruiken PAsskey
Reageer met quote
04-09-2024, 18:37 door waterlelie
Tweakers is wat completer in haar artikel:
De ernst van het probleem is 'matig', met een CVSS-score van 4.9, zegt het bedrijf. In de praktijk is er wel veel nodig om de aanval uit te voeren. In de eerste plaats heeft een aanvaller langdurig fysieke toegang tot een YubiKey nodig. Die moeten ze vervolgens open weten te maken, zodat ze bij de microcontroller kunnen komen. Verder hebben aanvallers een elektromagneet en een oscilloscoop nodig, naast een computer die het elektromagnetische signaal van een chip kan aflezen. Volgens de onderzoekers is een aanval mogelijk met bepaalde hardware, maar dat is duur. Daarnaast kan een praktische aanval alleen plaatsvinden als een aanvaller niet alleen de YubiKey, maar ook de andere credentials van een slachtoffer bezit, zoals de gebruikersnaam en het wachtwoord.
Reageer met quote
04-09-2024, 20:50 door Anoniem
In welke versies is het verholpen?
Reageer met quote
04-09-2024, 21:57 door Anoniem
Door Anoniem: In welke versies is het verholpen?
Hangt af van welke Yubikey je hebt:
Not Affected Products
YubiKey 5 Series version 5.7.0 and newer
YubiKey 5 FIPS Series 5.7 and newer (FIPS submission in process)
YubiKey Bio Series versions 5.7.2 and newer
Security Key Series versions 5.7.0 and newer
YubiHSM 2 versions 2.4.0 and newer
YubiHSM 2 FIPS versions 2.4.0 and newer
Affected
YubiKey 5 Series versions prior to 5.7
YubiKey 5 FIPS Series prior to 5.7
YubiKey 5 CSPN Series prior to 5.7
YubiKey Bio Series versions prior to 5.7.2
Security Key Series all versions prior to 5.7
YubiHSM 2 versions prior to 2.4.0
YubiHSM 2 FIPS versions prior to 2.4.0
Via: https://www.yubico.com/support/security-advisories/ysa-2024-03/
Reageer met quote
05-09-2024, 14:29 door waterlelie
Het komt er dus op neer, dat het stelen van de private key in realiteit feitelijk onmogelijk is, tenzij de degenen die dat willen op het technische niveau van een geheime dienst opereert.
Reageer met quote
05-09-2024, 14:59 door Anoniem
Je moet de YubiKey dus fysiek in handen hebben en met specialistische tools kunnen observeren wanneer deze een succesvolle authenticatie doet. Lijkt me inderdaad een megarisico waar ik wakker van moet liggen. NOT.
Reageer met quote
Gisteren, 09:33 door Anoniem
Via de regels van de EU consumentenrecht, mag je de key vervangen of restitutie aanvragen als je binnen 2 jaar van aankoop zit. Dit aangezien Yubi adverteert met een soort "unhackable". Nu voldoen ze niet aan die specificatie en kan je binnen de EU vervanging aanvragen.
Bij Amazon heb ik mijn geld terug gekregen bij het terugsturen zonder originele verpakking.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.