Закрытые ключи для генерирования цифровых подписей D-Link оказались в открытом доступе

Производитель сетевого и телекоммуникационного оборудования, компания D-Link по ошибке опубликовала в открытом доступе закрытые ключи, используемые для подписи цифровых сертификатов. Как сообщает нидерландское интернет-издание Tweakers, получить ключи можно было из пакетов с открытым программным обеспечением D-Link, благодаря чему у злоумышленников была возможность использовать их для подписи вредоносного ПО.

Утечка ключей была обнаружена пользователем под псевдонимом bartvbl, который приобрел камеру видеонаблюдения D-Link DCS-5020L и хотел загрузить прошивку. «Как оказалось, файлы содержали закрытые ключи для подписи кода, а в некоторых даже были скрипты с необходимыми командами и паролями», – сообщил bartvbl.

С помощью ключей пользователю удалось сгенерировать цифровую подпись для файла, не имеющего отношения к продуктам D-Link. В начале сентября срок действия сертификатов истек, поэтому злоумышленники больше не могут ими воспользоваться.

D-Link выпустила новый вариант прошивки, из которого удалены файлы для формирования цифровых подписей.