Телефон PhonerLite до версии 2.15 предоставляет хешированные учетные данные в ответ на недействительный запрос аутентификации, что облегчае…
Телефон PhonerLite до версии 2.15 предоставляет хешированные учетные данные в ответ на недействительный запрос аутентификации, что облегчает удаленным злоумышленникам получение доступа через атаку методом грубой силы, связанную с проблемой "SIP Digest Leak".
Продукт генерирует хеш для пароля, однако применяет схему, не обеспечивающую достаточного уровня вычислительных затрат, что делает атаки перебора паролей осуществимыми или недостаточно дорогостоящими.
https://cwe.mitre.org/data/definitions/916.html →Открыть в коллекции CWE →Злоумышленник получает доступ к таблице базы данных, в которой хранятся хеши паролей. Затем он использует таблицу радужных цепочек из заранее вычисленных хеш-цепочек для попытки восстановить исходный пароль. Получив исходный пароль, соответствующий хешу, злоумышленник использует его для получения доступа к системе.
https://capec.mitre.org/data/definitions/55.html →Открыть в коллекции CAPEC →