Vasion Print (dawniej PrinterLogic) Virtual Appliance zawiera zakodowany na stałe klucz prywatny SSL oraz pasujący certyfikat publiczny przechowywane w postaci jawnego tekstu. Podatność dotyczy wszystkich wdrożeń VA i SaaS, a ten sam klucz jest identyczny w każdej zainstalowanej instancji, co oznacza, że jednokrotna kradzież klucza kompromituje poufność komunikacji TLS w całej globalnej instalacji bazy produktu.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) Virtual Appliance Host prior to version 22.0.1049 and Application prior to version 20.0.2786 (VA and SaaS deployments) contain a private SSL key and matching public certificate stored in cleartext. The key belongs to the hostname `pl‑local.com` and is used by the appliance to terminate TLS connections on ports 80/443. Because the key is hardcoded, any attacker who can gain container-level access can simply read the files and obtain the private key. With the private key, the attacker can decrypt TLS traffic, perform man-in-the-middle attacks, or forge TLS certificates. This enables impersonation of the appliance’s web UI, interception of credentials, and unrestricted access to any services that trust the certificate. The same key is identical across all deployed appliances meaning a single theft compromises the confidentiality of every Vasion Print installation. This vulnerability has been identified by the vendor as: V-2024-025 — Hardcoded SSL Certificate & Private Keys.
Klucz prywatny SSL przypisany do nazwy hosta `pl-local.com` jest używany przez urządzenie do kończenia połączeń TLS na portach 80 i 443. Klucz jest przechowywany w plikach w kontenerze w postaci niezaszyfrowanej (cleartext). Atakujący, który uzyska dostęp na poziomie kontenera, może odczytać pliki z kluczem bez żadnych dodatkowych uprawnień. Ponieważ identyczny klucz jest wbudowany w każde wdrożenie produktu, pozyskanie go z jednej instancji umożliwia ataki na wszystkie pozostałe instalacje.
Atakujący posiadający skradziony klucz może deszyfrować przechwycony ruch TLS, przeprowadzać ataki man-in-the-middle, podszywać się pod interfejs webowy urządzenia oraz przechwytywać dane uwierzytelniające użytkowników. Możliwe jest również fałszowanie certyfikatów TLS i uzyskanie nieograniczonego dostępu do usług ufających temu certyfikatowi.
Należy zaktualizować Virtual Appliance Host do wersji 22.0.1049 lub nowszej oraz Virtual Appliance Application do wersji 20.0.2786 lub nowszej. Dodatkowe szczegóły dostępne są w biuletynach bezpieczeństwa producenta pod adresami referencyjnymi. Po zastosowaniu patchy należy zweryfikować, czy nowe wdrożenia nie zawierają już wspólnego klucza oraz rozważyć inspekcję ruchu sieciowego pod kątem potencjalnych wcześniejszych ataków MITM.
Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach wcześniejszych niż 22.0.1049 oraz Virtual Appliance Application w wersjach wcześniejszych niż 20.0.2786 — dotyczy zarówno wdrożeń VA, jak i SaaS.
Podatność zidentyfikowana przez producenta jako V-2024-025 (Hardcoded SSL Certificate & Private Keys). Szczegóły techniczne zostały opublikowane przez badacza Pierre Kim w ramach szerszego raportu obejmującego 83 podatności w produktach Vasion/PrinterLogic (wpis na blogu z 2025-04-08).
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XVasion Virtual Appliance Application
APPVasion< 20.0.2786Vasion Virtual Appliance Host
APPVasion< 22.0.1049
Powiązane podatności
Vasion Print Virtual Appliance — hasła w plikach plaintext dostępnych dla wszystkich
Vasion Print: hardcoded SSH key umożliwiający root access do appliance
Vasion Print Virtual Appliance — nieautoryzowane RCE przez firmware-upload
Hardcoded klucz prywatny GPG w Vasion Print Virtual Appliance
Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych