GeoVision GV-IP Device Utility 9.0.5 przesyła poświadczenia administratora w pakietach UDP broadcast, szyfrując je symetrycznym kluczem dołączonym do tego samego pakietu. Atakujący w tej samej sieci LAN może przechwycić ruch broadcast i odszyfrować login oraz hasło do urządzenia.
▸ Pokaż oryginał (EN)
An insufficient encryption vulnerability exists in the Device Authentication functionality of GeoVision GV-IP Device Utility 9.0.5. Listening to broadcast packets can lead to credentials leak. An attacker can listen to broadcast messages to trigger this vulnerability. When interacting with various Geovision devices on the network, the utility may send privileged commands; in order to do so, the username and password of the device need to be provided. In some instances the command is broadcasted over UDP and the username/password are encrypted using a cryptographic protocol that appears to be derivated from Blowfish. However the symmetric key used for the encryption is also included in the packet, and thus the security of the username/password only relies on the "obscurity" of the encryption scheme. An attacker on the same LAN can listen to the broadcast traffic once an admin user interacts with the device, and decrypt the credentials using their own implementation of the algorithm. With this password the attacker would have full control over the device configuration, allowing them to change its ip address or even reset it to factory default.
Narzędzie GV-IP Device Utility, komunikując się z urządzeniami GeoVision w sieci, wysyła uprzywilejowane polecenia w postaci pakietów UDP broadcast zawierających zaszyfrowane poświadczenia użytkownika. Szyfrowanie oparte jest na schemacie pochodnym od algorytmu Blowfish, jednak klucz symetryczny służący do szyfrowania jest dołączany bezpośrednio do tego samego pakietu. Oznacza to, że bezpieczeństwo poświadczeń opiera się wyłącznie na nieznajomości schematu szyfrowania (security through obscurity), a nie na tajności klucza. Osoba podsłuchująca ruch sieciowy w segmencie LAN — np. przy użyciu standardowego sniffera — może zebrać pakiety broadcast w momencie, gdy administrator korzysta z narzędzia, a następnie samodzielnie zaimplementować algorytm deszyfrowania i odzyskać login oraz hasło.
Atakujący, który odzyska poświadczenia administratora, uzyskuje pełną kontrolę nad konfiguracją urządzenia GeoVision — może zmieniać jego adres IP, przywrócić ustawienia fabryczne lub przeprowadzać inne operacje administracyjne.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.geovision.com.tw/cyber_security.php). Do czasu aktualizacji zaleca się ograniczenie dostępu do segmentu sieciowego, w którym działa narzędzie, oraz unikanie korzystania z GV-IP Device Utility w niezaufanych środowiskach sieciowych.
GeoVision GV-IP Device Utility w wersji 9.0.5
Podatność sklasyfikowana jako CWE-656 (Reliance on Security Through Obscurity) — klucz szyfrujący zawarty jest w tym samym pakiecie UDP co zaszyfrowane poświadczenia, co całkowicie znosi ochronę kryptograficzną. Atak wymaga obecności w tej samej sieci LAN oraz aktywnej interakcji administratora z urządzeniem.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:HGeovision Gv Ip Device Utility
APPGeovision9.0.5
Powiązane podatności
OS Command Injection w urządzeniach GeoVision — zdalne wykonanie poleceń bez uwierzytelnienia
Command injection w urządzeniach GeoVision EOL — zdalne wykonanie poleceń
Command injection w GeoVision LPC2011/LPC2211 via konfiguracja DDNS
Privilege escalation w interfejsie Web GeoVision LPC2011/LPC2211
Stack overflow w GeoVision GV-VMS — nieuwierzytelnione RCE przez WebCam Server