domingo, 28 de diciembre de 2014

Vulnerabilidad en cafeteras Keurig 2.0

Las cafeteras de la marca Keurig 2.0 se ven afectadas por una vulnerabilidad en los mecanismos de verificación de la autenticidad de las cápsulas monodosis de café, conocidas como K-Cups. Esto podría permitir realizar ataques de suplantación través de la reutilización de una cápsula verificada previamente.

Al igual que otros muchos modelos de cafeteras, la Keurig 2.0 está diseñada para usar únicamente cápsulas de café K-Cups genuinas, aprobadas por el fabricante. Sin embargo, un error en el método de verificación puede permitir a un atacante el uso no autorizado de capsulas no autenticas.

La vulnerabilidad, con un CVSS de 4,9, reside en retirar con cuidado con ayuda de un cuchillo o unas tijeras la lámina completa de la tapa de una cápsula K-Cup genuina, asegurándose de mantener los bordes completos intactos. Colocando posteriormente con cuidado la tapa de la cápsula recortada, sobre una cápsula falsa el proceso de verificación entenderá que se trata de una cápsula genuina, y permitirá el uso de la cafetera con la cápsula falsificada.

El problema ha sido anunciado por el investigador Ken Buckler, de Caffeine Security, que ha publicado en http://www.keurighack.com/ un vídeo (que sirve como prueba de concepto) en el que demuestra la vulnerabilidad.


A falta de una corrección para esta vulnerabilidad, el investigador recomienda a los propietarios de sistemas Keurig 2.0 tomar medidas adicionales para asegurar el dispositivo, como mantener el dispositivo en un armario cerrado con llave, o el uso de un cable de seguridad para evitar que el dispositivo sea empleado por usuarios no autorizados.

Más información:

Keurig 2.0 Genuine K-Cup Spoofing Vulnerability

keurighack.com



Antonio Ropero
Twitter: @aropero