Vulnerabilidades de fusión y espectro en el dispositivo IDENTIKEY y el dispositivo virtual IDENTIKEY

ID de aviso vasco-sa-20180118-fusión-espectro-ia-iva

Número de revisión 0.4 0.4

Fecha de lanzamiento 18 de enero de 2018 05:00 PM UTC + 1

Última actualización 19 de enero de 2018 12:00 PM UTC + 1

Resumen

Las vulnerabilidades Meltdown y Spectre, que afectan a los procesadores Intel, AMD y ARM, permiten que los procesos no privilegiados lean la memoria del kernel y de los programas del usuario, lo que puede permitir que el malware robe contraseñas, claves criptográficas u otra información confidencial.

Debido a que están utilizando o tienen una alta probabilidad de depender de procesadores vulnerables, tanto los productos IDENTIKEY Appliance como IDENTIKEY Virtual Appliance están expuestos a estas vulnerabilidades. Sin embargo, el riesgo de explotación es bajo.

Productos impactados

Los siguientes productos OneSpan se ven afectados por las vulnerabilidades Meltdown y Spectre:

Aparato IDENTIKEY Serie 3000, Serie 5000, Serie 7000
Dispositivo virtual IDENTIKEY serie 1000, serie 2000, serie 4000, serie 8000

Productos afectados

Dispositivo IDENTIKEY
Dispositivo virtual IDENTIKEY

Descripción

La explotación de las vulnerabilidades Meltdown y Spectre solo puede realizarse mediante malware dedicado que se ejecute en el dispositivo o en la computadora que aloja el dispositivo virtual. Dicho malware debe haber sido instalado y ejecutado explotando otras fallas de seguridad. Un escenario de ataque típico implica que el atacante se autentique y tenga derecho a ejecutar código.

El dispositivo IDENTIKEY no permite el acceso de shell, ni siquiera para los administradores. Por lo tanto, es poco probable que se instale y ejecute malware y la probabilidad de explotación sea baja. Con respecto al dispositivo virtual IDENTIKEY, la probabilidad de explotación depende aún más de la seguridad de la computadora host y el hipervisor. Sin embargo, el dispositivo generalmente se encuentra en una red local detrás de un firewall y se beneficia de los controles de seguridad establecidos localmente, como por ejemplo, autenticación y control de acceso.

Puntuación de gravedad

La siguiente tabla indica el puntaje de vulnerabilidad CVSS 2.0 de las vulnerabilidades Meltdown y Spectre en el contexto del dispositivo IDENTIKEY y el dispositivo virtual IDENTIKEY.

Puntuación base de CVSS: 1.0
Vector de acceso	Complejidad de acceso	Autenticación	Impacto de confidencialidad	Impacto de integridad	Impacto de disponibilidad
Local	Alto	Soltero	Parcial	Ninguna	Ninguna

Puntuación temporal de CVSS: 8.0
Explotabilidad	Nivel de remediación	Informar confianza
Funcional	Arreglo oficial	Confirmado

Arreglos de productos

Los clientes que usan el dispositivo IDENTIKEY deben aplicar el paquete de actualización IA versión 3.14.15, que parcheará el sistema operativo del dispositivo.

Los clientes que usan el dispositivo virtual IDENTIKEY deben aplicar el paquete de actualización versión 3.14.15, aplicar parches para el sistema operativo del host y también parches para el hipervisor (entorno virtual VMWare, Citrix o Microsoft).

Ubicación

Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance.

Referencia

Sitio web oficial sobre las vulnerabilidades Meltdown y Spectre: https://meltdownattack.com/

Nota legal

MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.

Vulnerabilidades de fusión y espectro en el dispositivo IDENTIKEY y el dispositivo virtual IDENTIKEY mi