Закрытые ключи для генерирования цифровых подписей D-Link оказались в открытом доступе

  • Автор темы Eva
  • Дата начала

Eva

Местный
Регистрация
3/4/15
Сообщения
866
Репутация
0
Реакции
1.778
RUB
0
Ключи содержались в компонентах прошивки для камеры видеонаблюдения D-Link DCS-5020L.
5b96e1bb057a71f9940b20fd8eada043.jpg

Производитель сетевого и телекоммуникационного оборудования, компания D-Link по ошибке опубликовала в открытом доступе закрытые ключи, используемые для подписи цифровых сертификатов. Как сообщает нидерландское интернет-издание Tweakers, получить ключи можно было из пакетов с открытым программным обеспечением D-Link, благодаря чему у злоумышленников была возможность использовать их для подписи вредоносного ПО.

Утечка ключей была обнаружена пользователем под псевдонимом bartvbl, который приобрел камеру видеонаблюдения D-Link DCS-5020L и хотел загрузить прошивку. «Как оказалось, файлы содержали закрытые ключи для подписи кода, а в некоторых даже были скрипты с необходимыми командами и паролями», – сообщил bartvbl.

С помощью ключей пользователю удалось сгенерировать цифровую подпись для файла, не имеющего отношения к продуктам D-Link. В начале сентября срок действия сертификатов истек, поэтому злоумышленники больше не могут ими воспользоваться.

D-Link выпустила новый вариант прошивки, из которого удалены файлы для формирования цифровых подписей.
 
Сверху Снизу