Basándonos en los conocimientos actuales, la posibilidad de amenaza para los productos Konica Minolta es extremadamente baja. 1. Resumen (citado de Cert.org) Algunas implementaciones de hardware de CPU son vulnerables a ataques laterales de caché. A estas vulnerabilidades se las denomina Meltdown y Spectre. Tanto Spectre como Meltdown aprovechan la capacidad de extraer información de las instrucciones ejecutadas en una CPU usando la caché de CPU como canal lateral. Estos ataques se describen con detalle en Google Project Zero, el Instituto de Procesos Aplicados de Información y Comunicaciones (IAIK) de la Universidad Tecnológica de Graz (TU Graz) y Anders Fogh. Los problemas se organizan en tres variantes:
2. Puntuación de severidad de estas vulnerabilidades según el Sistema de Puntuación de Vulnerabilidades Comunes CVSS v3
Nota: Para más explicación sobre CVSS, consulte la web de first.org. Como la puntuación CVSS puede ser actualizada ocasionalmente, compruebe el último estado en el sitio web de CVE. Además, la puntuación CVSS puede ser diferente para cada agencia de seguridad.
3. Riesgos para las MFP En este momento sólo existe la vulnerabilidad cuando se ejecuta un programa malicioso en el dispositivo atacado; si se ejecuta, el programa puede acceder a datos almacenados en memoria que normalmente estarían protegidos por el sistema (memoria del área del kernel del SO, memoria de cada proceso y memoria de cada máquina virtual). Es importante saber que los datos de la memoria no pueden exponerse remotamente a una red externa. Algunas MFP Konica Minolta contienen procesadores Intel o ARM que pueden estar afectados por las vulnerabilidades Meltdown y Spectre. Para que un atacante explote estas vulnerabilidades en una MFP, es necesario ejecutar un programa malicioso en la máquina atacada manipulando el firmware interno. Las MFP de Konica Minolta han obtenido la certificación ISO 15408 de Common Criteria Security. El ISO 15408 certificó que el firmware está firmado digitalmente por Konica Minolta. Antes de instalar firmware actualizado en la MFP, el técnico de servicio autorizado puede verificar la firma digital de Konica Minolta para asegurar la integridad de los datos. Además, el ISO 15408 certificó que las MFP contienen una característica de verificación de firmware. Cuando se reescribe el firmware de la unidad principal, se hace una comprobación del valor del hash para ver si los datos del firmware han sido manipulados. Si los valores del hash no coinciden, se emite una alerta, y el firmware no se reescribe. Además, cuando está activado el modo de seguridad, las comprobaciones del valor del hash se llevan a cabo cada vez que se activa la fuente de alimentación principal. Si los valores del hash no coinciden, se emite una alerta, y se impide el arranque de la unidad principal de la MFP. Gracias a estos mecanismos a prueba de fallos es extremadamente difícil que un atacante introduzca el código malicioso en la MFP y lo ejecute. Por estos motivos, KMI no ha hecho actualmente planes para publicar firmware actualizado para Spectre o Meltdown por el bajísimo riesgo de que esta vulnerabilidad ataque a nuestras MFP.
4. Para controladores de PP, Fiery y Creo
Como los controladores EFI Fiery y Creo también contienen CPUs Intel, están afectados por la vulnerabilidad Meltdown. EFI anunció el estado en su sitio web público y mediante un boletín de partners, como se muestra a continuación.
Actualmente Creo no ha hecho un comentario público sobre el asunto, pero van a proporcionar un parche de seguridad de software en algún momento.
5. Productos MFP que contienen procesadores afectados
Oficina color: (C458/C558/C658), (C659/C759) Oficina B/N: (458e/558e/658e), (758/808/958) Estos productos de Oficina contienen el procesador ARM Cortex-A15. Productos PP: Todos los productos de impresión de producción contienen los procesadores Intel afectados. 6. Información de los fabricantes de las CPU ARM: Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism Intel: Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method 7. Referencias CERT/CC Vulnerability Note VU#584653 Hardware CPU vulnerable a ataques por canal lateral NIST National Vulnerability Database
CVE-2017-5753 Detail CVE-2017-5715 Detail CVE-2017-5754 Detail
Meltdown y Spectre