Mehrere Schwachstellen in "sicheren" mobilen Festplatten und Crypto-USB-Sticks von Verbatim (SYSS-2022-001/-017)

SySS IT-Sicherheitsexperte Matthias Deeg fand im Rahmen eines Forschungsprojekts bezüglich sicherer, verschlüsselter mobiler Datenträger mehrere Sicherheitsschwachstellen in verschiedenen Produkten des Herstellers Verbatim.

Schwachstellen konnten dabei in den folgenden getesteten Produkten gefunden werden:

1. Verbatim Keypad Secure USB 3.2 Gen 1 Drive
2. Verbatim Store 'n' Go Secure Portable HDD
3. Verbatim Executive Fingerprint Secure SSD
4. Verbatim Fingerprint Secure Portable Hard Drive

Zwei kritische Schwachstellen ermöglichen es einem Angreifer, der physischen Zugriff auf eine betroffene mobile Festplatte oder USB-Stick erlangt, auf unautorisierte Weise auf die geschützten Daten im Klartext zuzugreifen. Ein solcher Angriff bezüglich eines unautorisierten Zugriffs auf geschützte Daten wird beispielhaft in unserem SySS Proof of Concept-Video: Hacking a Secure USB Flash Drive (Verbatim Keypad Secure) demonstriert.

Andere gefundene Sicherheitsschwachstellen ermöglichen Manipulationen der mobilen Festplatten und USB-Sticks, die beispielsweise im Rahmen einer Supply Chain Attack von Angreifern ausgenutzt werden können, um an schützenswerte Daten zu gelangen oder um Schadsoftware mit anderer Funktionalität an potenzielle Opfer zu verteilen.

Detaillierte Informationen zu den gefundenen Schwachstellen in den verschiedenen Verbatim-Produkten finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:

• SYSS-2022-001 (CVE-2022-28384)
• SYSS-2022-002 (CVE-2022-28382)
• SYSS-2022-003 (CVE-2022-28383)
• SYSS-2022-004 (CVE-2022-28386)
• SYSS-2022-005 (CVE-2022-28384)
• SYSS-2022-006 (CVE-2022-28382)
• SYSS-2022-007 (CVE-2022-28383)
• SYSS-2022-008 (CVE-2022-28386)
• SYSS-2022-009 (CVE-2022-28387)
• SYSS-2022-010 (CVE-2022-28382)
• SYSS-2022-011 (CVE-2022-28383)
• SYSS-2022-013 (CVE-2022-28385)
• SYSS-2022-014 (CVE-2022-28387)
• SYSS-2022-015 (CVE-2022-28382)
• SYSS-2022-016 (CVE-2022-28383)
• SYSS-2022-017 (CVE-2022-28385)

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

In unserem englischsprachigen SySS Tech Blog-Artikel "Hacking a Secure USB Flash Drive (Part I)" beschreibt Matthias Deeg die Forschungsergebnisse bezüglich des getesteten Produkts Verbatim Keypad Secure genauer.

Bisher hat sich Verbatim nicht bezüglich der gemeldeten Sicherheitsschwachstellen bei uns gemeldet. Aktuell sind uns keine Maßnahmen zur Behebung der aufgeführten Schwachstellen bekannt.