CVE-2022-29948

Lepin EP-KP001, versões até KP001 V19

O problema se deve a um projeto inseguro, que permite um ataque de contorno de autenticação. Isso permite que um invasor obtenha acesso aos dados criptografados armazenados, substituindo o microcontrolador do dispositivo alvo por um proveniente de um dispositivo controlado pelo invasor, cuja senha seja conhecida. Normalmente, a partição criptografada do disco é desbloqueada digitando-se a senha correta no teclado e pressionando o botão Desbloquear, com a autenticação realizada por um microcontrolador desconhecido. Essa vulnerabilidade permite que um invasor desbloqueie o dispositivo alvo e leia os dados armazenados em texto simples.

Para as versões do Lepin EP-KP001 até a KP001 V19, considere substituir o microcontrolador por um seguro ou implementar medidas de segurança adicionais para impedir o acesso não autorizado. Como solução temporária, restrinja o acesso físico ao dispositivo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.