elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Revelación de contraseñas en cámaras IP D-Link DCS-9xx
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Revelación de contraseñas en cámaras IP D-Link DCS-9xx  (Leído 1,889 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Revelación de contraseñas en cámaras IP D-Link DCS-9xx
« en: 17 Diciembre 2012, 22:43 pm »

Se ha publicado una vulnerabilidad crítica en el método de autenticación usado por las cámaras IP de la serie D-Link DCS-9xx que podría permitir la revelación de la contraseña de acceso a la zona de administración del dispositivo.

El error se encuentra en la forma en que el asistente de configuración de la cámara realiza el proceso de autenticación. Durante el proceso el asistente envía un mensaje de difusión solicitando la contraseña a la cámara para poder comparar y validar los datos de acceso suministrados por el usuario.
 
Sin embargo esta solicitud no precisa ninguna autenticación por lo que un atacante remoto podría realizar una suplantación del asistente para obtener las credenciales de administración, simplemente enviando una petición UDP y esperando respuesta.
 
La contraseña se envía cifrada por la red, pero el asistente cuenta con un ActiveX que lo descifra y "almacena" en una variable de javascript como una cadena codificada en base64 fácilmente recuperable, con lo que el atacante puede recibirla y verla sin problemas.
 
Jason Doyle, el investigador de seguridad que descubrió el error, lo reportó al fabricante a mediados del mes de junio pero aun no se ha publicado una solución oficial para los dispositivos afectados. La vulnerabilidad, identificada como CVE-2012-4046, ha sido comprobada en la cámara D-Link DCS-932L con la última versión del firmware disponible (v1.02).
 
Más información:
 
Password Disclosure in D-Link Surveillance Cameras (CVE-2012-4046) http://www.fishnetsecurity.com/6labs/blog/password-disclosure-d-link-surveillance-cameras-cve-2012-4046

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/revelacion-de-contrasenas-en-camaras-ip-d-link-dcs-9xx


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
El caso Roswell, revelación del FBI
Foro Libre
Luish@o 4 6,676 Último mensaje 18 Abril 2011, 17:08 pm
por EvilGoblin
Revelación de información sensible en Bugzilla
Noticias
wolfbcn 0 1,254 Último mensaje 1 Agosto 2012, 18:48 pm
por wolfbcn
Cuando los vendedores usan contraseñas inútiles y más de 800.000 cámaras ...
Noticias
wolfbcn 1 1,167 Último mensaje 23 Junio 2018, 00:30 am
por Serapis
Revelación de información sensible en dispositivos D-Link
Noticias
wolfbcn 0 918 Último mensaje 26 Diciembre 2018, 02:13 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines