Oprogramowanie D-Link D-View zawiera zakodowany na stałe klucz kryptograficzny w klasie TokenUtils, co pozwala zdalnym atakującym na całkowite pominięcie mechanizmu uwierzytelnienia. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
D-Link D-View Use of Hard-coded Cryptographic Key Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of D-Link D-View. Authentication is not required to exploit this vulnerability. The specific flaw exists within the TokenUtils class. The issue results from a hard-coded cryptographic key. An attacker can leverage this vulnerability to bypass authentication on the system. Was ZDI-CAN-21991.
W klasie TokenUtils aplikacji D-Link D-View zastosowano stały, niezmienialny klucz kryptograficzny (hard-coded key) używany do generowania lub walidacji tokenów uwierzytelniających. Atakujący, znając ten klucz, może samodzielnie wygenerować prawidłowy token sesji lub poświadczenia uwierzytelniające. W efekcie system akceptuje spreparowane dane jako poprawną tożsamość bez konieczności podawania rzeczywistych danych uwierzytelniających. Atak jest możliwy zdalnie, przez sieć, bez jakichkolwiek wcześniejszych uprawnień.
Atakujący może całkowicie ominąć mechanizm uwierzytelnienia i uzyskać nieautoryzowany dostęp do systemu D-Link D-View, co może prowadzić do pełnego przejęcia kontroli nad aplikacją, ujawnienia wrażliwych danych oraz modyfikacji konfiguracji zarządzanej infrastruktury sieciowej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o poprawionych wersjach dostępne są w poradniku ZDI-24-447 (https://www.zerodayinitiative.com/advisories/ZDI-24-447/). Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do interfejsu D-View wyłącznie do zaufanych hostów oraz izolację systemu od publicznej sieci Internet.
D-Link D-View 8 — konkretne wersje wskazane w referencjach producenta oraz w poradniku Zero Day Initiative (ZDI-24-447)
Podatność została zgłoszona w ramach programu Zero Day Initiative pod identyfikatorem ZDI-CAN-21991 i opublikowana jako ZDI-24-447.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDlink D View 8
APPDlink2.0.1.28
Powiązane podatności
D-Link D-View: hardcoded credentials umożliwiają bypass uwierzytelnienia
D-Link D-View: RCE przez ujawnioną niebezpieczną funkcję w coreservice_action_script
D-Link D-View: RCE przez path traversal w TftpReceiveFileHandler
D-Link D-View: pominięcie uwierzytelnienia przez hardkodowany klucz kryptograficzny
D-Link D-View 8: Manipulacja inwentarzem sond umożliwia RCE i DoS