US-CERT WARNS OF CRYPTO BUGS IN IEEE STANDARD
지난 금요일 미 국토안보부가 IEEE P1735 표준에 구현 된 취약한 암호화 관련 버그에 대해 경고하였습니다.
US-CERT는 “가장 심각한 사건의 경우, 순수 텍스트 IP 전체를 복구해낼 수 있는 공격이 가능해집니다. IEEE P1735의 구현은 암호화 공격에 취약할 수 있으며, 공격자들이 키가 없이도 순수 텍스트 형태의 지적 재산권을 얻을 수 있는 등의 공격을 할 수 있습니다.”고 밝혔습니다.
Institute of Electrical and Electronics Engineers (IEEE) P1735 표준 취약점은 University of Florida의 연구원들이 발견했습니다. 지난 9월, 이 연구원들은 Standardizing Bad Cryptographic Practice (PDF)라는 논문을 발표했습니다.
전체 중 7개의 CVE ID들이 이 결함들에 부여 되었으며, 그 목록은 아래와 같습니다:
CVE-2017-13091: CBC 모드에서 부적절하게 지정 된 패딩으로 인해 EDA 툴을 해독 오라클로써 사용할 수 있도록 허용합니다.
CVE-2017-13092: 부적절하게 지정 된 HDL syntax로 인해 EDA 툴을 해독 오라클로써 사용할 수 있도록 허용합니다.
CVE-2017-13093: 암호화 된 IP 암호문을 변조해 하드웨어 트로이목마를 삽입하도록 허용합니다.
CVE-2017-13094: 암호화 키를 변조하고 어떤 IP에도 하드웨어 트로이목마를 삽입할 수 있도록 허용합니다.
CVE-2017-13095: 라이선스 거부 응답을 변조해 라이선스를 부여할 수 있도록 허용합니다.
CVE-2017-13096: 권한 차단을 변조해 접근 제어를 느슨하게 하거나 제거해버립니다.
CVE-2017-13097: 권한 차단을 변조해 라이선스 요구사항을 느슨하게 하거나 제거해버립니다.
이 CVE들은 CVSS 점수 5.7에서 6.3을 받았습니다.
CERT는 “이 버그들은 순수 텍스트 형태로 전체 IP를 복구하는 것이 가능하며, 공격자들이 P1735 워크플로우를 이용해 암호화 된 전자 설계 IP들을 복구해낼 수 있어 IP 소유자가 모르는 사이 IP 도난 및 보안이 중요한 기능들의 분석, 암호화 된 IP에 하드웨어 트로이목마를 삽입하는 등의 결과로 이어질 수 있습니다.”고 경고했습니다.
CERT는 EDA 소프트웨어에 제조사의 업데이트가 공개 되는 대로 이를 적용할 것을 권고하였습니다. 또한 EDA 소프트웨어의 개발자들은 연구원들의 보고서에서 제안 된 수정사항들을 적용할 수 있다고도 덧붙였습니다.
출처 :
https://threatpost.com/us-cert-warns-of-crypto-bugs-in-ieee-standard/128784/
FIN7 APT 조직의 새로운 활동 분석 보고서 (0) | 2017.11.08 |
---|---|
MantisTek GK2 키보드에 내장 된 키로거 발견 돼 – 데이터는 중국에 보내져 (0) | 2017.11.08 |
치명적인 Tor 브라우저 취약점, 사용자의 실제 IP 노출 시켜 – 지금 업데이트 하세요 (0) | 2017.11.06 |
말레이시아 정부 서버 및 통신사가 해커의 공격을 당해 수백만명의 국민 정보가 유출되었다. (0) | 2017.11.03 |
구글의 reCaptcha, 또 다시 해킹 돼 (0) | 2017.11.03 |
댓글 영역