2 puntos por GN⁺ 2024-11-12 | 1 comentarios | Compartir por WhatsApp
  • Surgió un reporte de que inventario antiguo de YubiKey con firmware vulnerable al ataque EUCLEAK no fue desechado y se sigue vendiendo
  • La base es un reporte de un lector de Fefe's Blog; no incluye un anuncio oficial ni confirmación del fabricante
  • Por ahora, lo verificable se limita a “inventario antiguo” y “firmware vulnerable”; no se proporcionan modelos ni versiones de firmware
  • La continuidad de las ventas también se basa en la expresión “apparently”, por lo que debe verse como un indicio basado en un reporte, no como un hecho confirmado
  • Incluso si se compra una YubiKey nueva, podría ser necesario verificar por separado si tiene vulnerabilidades de firmware

Alcance confirmado por el reporte

  • Se compartió que YubiKey sigue vendiendo inventario antiguo que incluye firmware vulnerable al ataque EUCLEAK
  • Según el reporte, ese inventario no fue desechado y se está vendiendo
  • Como base, se menciona un reporte de un lector publicado en Fefe's Blog

Información de verificación que aún falta

  • No se proporcionan el modelo específico de YubiKey, la versión de firmware, la región de venta ni el canal de venta
  • Tampoco se incluye una postura oficial de YubiKey ni si tomó alguna medida

1 comentarios

 
GN⁺ 2024-11-12
Comentarios de Hacker News
  • Se pasó por alto el anuncio de la vulnerabilidad de YubiKey, pero no afecta mucho al modelo de amenazas personal

    • El atacante necesita poseer físicamente la YubiKey, además de conocimiento sobre la cuenta objetivo y equipo especializado
    • Puede requerirse información adicional como nombre de usuario, PIN, contraseña de la cuenta y claves de autenticación
  • Hay señalamientos de que Yubico sigue vendiendo llaves vulnerables en lugar de retirarlas

    • Las llaves con firmware nuevo se suministran primero a instituciones y a "clientes prioritarios"
  • Se plantean dudas sobre si los clientes pueden confiar en Yubico

    • Existe la expectativa de que el fabricante debe esforzarse por proteger a los clientes
    • Vender llaves vulnerables se considera una violación de la confianza
  • Si se pierde una YubiKey, los datos podrían verse comprometidos

    • Existió una vulnerabilidad que no fue descubierta durante 14 años
    • Hay una forma de extraer secretos sin desarmar la YubiKey
  • La razón por la que Yubico vende estas llaves es que marcar claramente la versión del firmware resulta costoso

    • Parece una oportunidad para que surja un competidor
    • Se presenta a Nitrokey como una buena alternativa
  • Al comprar un token de seguridad, se prefieren productos con firmware y hardware abiertos

    • Se busca un producto inspeccionado de forma independiente
    • Sería bueno contar con la capacidad de cargar y actualizar el firmware
  • Se recomienda Nitrokey

    • Su software está publicado en GitHub
  • Habría disposición a comprar YubiKey antiguas con descuento

    • En el modelo de amenazas personal, no se necesita tanta resistencia frente al robo de llaves
  • El cliente estaba en la etapa final de elegir un token de seguridad

    • YubiKey ya no es una opción
    • Hay decepción por la forma en que se manejó el defecto
  • Al comprar llaves de Yubico, podrías recibir correos de venta pasivo-agresivos