SYSS-2019-021: Sicherheitsschwachstelle in WolfVision Cynap All-in-One-System

Ein Security Advisory von SySS IT-Sicherheitsexperte Manuel Stotz

Bei der Analyse eines WolfVision Cynap-Systems für Präsentationen und Zusammenarbeit fand SySS IT-Sicherheitsexperte Manuel Stotz eine Sicherheitsschwachstelle, welche die "Passwort vergessen"-Funktion für den administrativen Zugang der Webschnittstelle betrifft.

Ein Angreifer mit entsprechendem Netzwerkzugriff auf die Webschnittstelle eines Cynap-Systems ist durch Ausnutzen dieser Schwachstelle in der Lage, administrativen Zugriff auf das Gerät zu erlangen. Die Ursache hierfür ist die Verwendung von statischem kryptografischem Schlüsselmaterial, das in Verbindung mit einem entsprechenden Algorithmus über die "Passwort vergessen"-Funktion ein Zurücksetzen des Administratorpassworts ermöglicht.

Detaillierte Informationen zu dieser gefundenen Schwachstelle finden Sie in unserem Security Advisory/You will find detailed information about this security issue in our Security Advisory:

 

Der Hersteller WolfVision hat diese gemeldete Sicherheitsschwachstelle in der aktuellen Firmwareversion 1.30j behoben. Firmwareupdates für betroffene Geräte können über die entsprechende WolfVision Download-Seite heruntergeladen werden.

In unserem SySS Proof-of-Concept Video: Administrating WolfVision Cynap the Hacker's Way wird ein erfolgreicher Angriff zum Erlangen administrativer Berechtigungen auf einem verwundbaren Cynap-System demonstriert.

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.


Termine

19.08.2020
Secu6: IT-Sicherheit kennenlernen

28.08.2020
Secu7: Phishing Awareness

02.09.2020
Secu6: IT-Sicherheit kennenlernen

15.09.2020
Hack7: Sicherheit und Einfallstore bei Webapplikationen

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99