Закрытые ключи для генерирования цифровых подписей D-Link оказались в открытом доступе

image

Теги: ключ, цифровая подпись, D-Link, утечка

Ключи содержались в компонентах прошивки для камеры видеонаблюдения D-Link DCS-5020L.

Производитель сетевого и телекоммуникационного оборудования, компания D-Link по ошибке опубликовала в открытом доступе закрытые ключи, используемые для подписи цифровых сертификатов. Как сообщает нидерландское интернет-издание Tweakers, получить ключи можно было из пакетов с открытым программным обеспечением D-Link, благодаря чему у злоумышленников была возможность использовать их для подписи вредоносного ПО.

Утечка ключей была обнаружена пользователем под псевдонимом bartvbl, который приобрел камеру видеонаблюдения D-Link DCS-5020L и хотел загрузить прошивку. «Как оказалось, файлы содержали закрытые ключи для подписи кода, а в некоторых даже были скрипты с необходимыми командами и паролями», – сообщил bartvbl.

С помощью ключей пользователю удалось сгенерировать цифровую подпись для файла, не имеющего отношения к продуктам D-Link. В начале сентября срок действия сертификатов истек, поэтому злоумышленники больше не могут ими воспользоваться.

D-Link выпустила новый вариант прошивки, из которого удалены файлы для формирования цифровых подписей.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus