Уразливість у криптографії golang: пропуск перевірки User Presence у FIDO/U2F
Критична уразливість golang crypto дозволяє підписувати без фізичного дотику до FIDO/U2F ключів, що загрожує безпеці SSH-доступу.
- CVSS
- 9.1 CRITICAL
- EPSS
- 29.31%
- Активно використовується
- немає в KEV
- Продукт
- crypto
Що відомо
Метод Verify() для типів ключів FIDO/U2F у golang crypto не перевіряв прапорець User Presence, що дозволяло підписувати без фізичного дотику до апаратного ключа. Це створює ризик несанкціонованого використання апаратного ключа без присутності користувача.
Бізнес-вплив
Ця уразливість критична для організацій, які використовують golang crypto для SSH-автентифікації з апаратними ключами FIDO/U2F. Відсутність перевірки фізичної присутності користувача може призвести до несанкціонованого доступу до систем через апаратні ключі без їх власника. Це підвищує ризик компрометації облікових записів та інфраструктури.
Рекомендовані дії адміністратора
Адміністраторам рекомендується перевірити оновлення від golang щодо цієї уразливості та застосувати їх. Якщо оновлення недоступні, слід обмежити використання уразливих ключів, переглянути журнали доступу на предмет аномалій і зменшити експозицію систем, що використовують ці ключі. Також варто налаштувати PublicKeyCallback для повернення розширення "no-touch-required" у Permissions.Extensions, щоб відновити попередню поведінку.