SYSS-2019-021: Sicherheitsschwachstelle in WolfVision Cynap All-in-One-System

Bei der Analyse eines WolfVision Cynap-Systems für Präsentationen und Zusammenarbeit fand SySS IT-Sicherheitsexperte Manuel Stotz eine Sicherheitsschwachstelle, welche die "Passwort vergessen"-Funktion für den administrativen Zugang der Webschnittstelle betrifft.

Ein Angreifer mit entsprechendem Netzwerkzugriff auf die Webschnittstelle eines Cynap-Systems ist durch Ausnutzen dieser Schwachstelle in der Lage, administrativen Zugriff auf das Gerät zu erlangen. Die Ursache hierfür ist die Verwendung von statischem kryptografischem Schlüsselmaterial, das in Verbindung mit einem entsprechenden Algorithmus über die "Passwort vergessen"-Funktion ein Zurücksetzen des Administratorpassworts ermöglicht.

Detaillierte Informationen zu dieser gefundenen Schwachstelle finden Sie in unserem Security Advisory/You will find detailed information about this security issue in our Security Advisory:

• SYSS-2019-021: Use of Hard-coded Cryptographic Key (CVE-2019-13352)

Der Hersteller WolfVision hat diese gemeldete Sicherheitsschwachstelle in der aktuellen Firmwareversion 1.30j behoben. Firmwareupdates für betroffene Geräte können über die entsprechende WolfVision Download-Seite heruntergeladen werden.

In unserem SySS Proof-of-Concept Video: Administrating WolfVision Cynap the Hacker's Way wird ein erfolgreicher Angriff zum Erlangen administrativer Berechtigungen auf einem verwundbaren Cynap-System demonstriert.

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.