В версиях Vasion Print (formerly PrinterLogic) Virtual Appliance Host до 22.0.862 и Application до 20.0.2014 (развертывания VA и SaaS) в Do…
В версиях Vasion Print (formerly PrinterLogic) Virtual Appliance Host до 22.0.862 и Application до 20.0.2014 (развертывания VA и SaaS) в Docker‑образах содержится закрытый GPG‑ключ и пароль‑фраза для аккаунта *no-reply+virtual-appliance@printerlogic.com*. Ключ хранится в открытом виде, а пароль‑фраза захардкожена в файлах. Администратор продукта, имея доступ к виртуальному аплайнсу, может извлечь закрытый ключ, импортировать его в свою инфраструктуру и расшифровывать зашифрованные GPG‑файлы, а также подписывать произвольные пакеты обновления прошивки. Подписанные таким образом обновления могут быть загружены администратором‑злоумышленником и выполнены на устройстве, давая полный контроль над виртуальным аплайнсом. [1] Источники: - [1] https://pierrekim.github.io/blog/2025-04-08-vasion-printerlogic-83-vulnerabilities.html#va-private-gpg-key - [2] https://help.printerlogic.com/va/Print/Security/Security-Bulletins.htm - [3] https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Продукт содержит жёстко запрограммированные учётные данные, такие как пароль или криптографический ключ.
https://cwe.mitre.org/data/definitions/798.html →Открыть в коллекции CWE →Злоумышленник может пробовать определённые распространённые или стандартные имена пользователей и пароли для получения доступа к системе и выполнения несанкционированных действий. Злоумышленник может применять интеллектуальный перебор с использованием пустых паролей, известных заводских учётных данных, а также словаря распространённых имён пользователей и паролей. Многие продукты поставляются с предустановленными стандартными (и, следовательно, общеизвестными) учётными данными, которые следует удалить перед вводом в производственную эксплуатацию. Забыть удалить эти стандартные учётные данные — распространённая ошибка. Кроме того, пользователи нередко выбирают очень простые (распространённые) пароли (например, «secret» или «password»), что существенно облегчает злоумышленнику задачу по сравнению с использованием полноценного перебора или даже словарной атаки.
https://capec.mitre.org/data/definitions/70.html →Открыть в коллекции CAPEC →Нет описания.
https://capec.mitre.org/data/definitions/191.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| Отслеживается | ||
| virtual_appliance_application | * | Отслеживается |
| virtual_appliance_host | * | Отслеживается |