CRITICAL🇬🇧 English

CVE-2026-42363

GeoVision GV-IP Device Utility — wyciek danych uwierzytelniających przez słabe szyfrowanie UDP

CVSS 9.3v3.1pub. 2026-04-27upd. 2026-05-19

Podatność w narzędziu GeoVision GV-IP Device Utility 9.0.5 polega na niewystarczającym szyfrowaniu danych uwierzytelniających przesyłanych w pakietach broadcast UDP. Atakujący nasłuchujący ruch sieciowy w tej samej sieci LAN może przechwycić i odszyfrować login oraz hasło administratora urządzenia, uzyskując nad nim pełną kontrolę.

Pokaż oryginał (EN)

An insufficient encryption vulnerability exists in the Device Authentication functionality of GeoVision GV-IP Device Utility 9.0.5. Listening to broadcast packets can lead to credentials leak. An attacker can listen to broadcast messages to trigger this vulnerability. When interacting with various Geovision devices on the network, the utility may send privileged commands; in order to do so, the username and password of the device need to be provided. In some instances the command is broadcasted over UDP and the username/password are encrypted using a cryptographic protocol that appears to be derivated from Blowfish. However the symmetric key used for the encryption is also included in the packet, and thus the security of the username/password only relies on the "obscurity" of the encryption scheme. An attacker on the same LAN can listen to the broadcast traffic once an admin user interacts with the device, and decrypt the credentials using their own implementation of the algorithm. With this password the attacker would have full control over the device configuration, allowing them to change its ip address or even reset it to factory default.

🤖 Analiza AI
Jak działa

Narzędzie podczas komunikacji z urządzeniami GeoVision w sieci wysyła uprzywilejowane polecenia w formie pakietów broadcast UDP, zawierających zaszyfrowane dane uwierzytelniające. Zastosowany schemat szyfrowania oparty jest na algorytmie zbliżonym do Blowfish, jednak klucz symetryczny używany do szyfrowania jest dołączany bezpośrednio do przesyłanego pakietu. Oznacza to, że bezpieczeństwo hasła i nazwy użytkownika opiera się wyłącznie na ukryciu mechanizmu szyfrowania (security through obscurity), a nie na tajności klucza. Atakujący w tej samej sieci LAN może przechwycić pakiet broadcast w momencie, gdy administrator korzysta z narzędzia, a następnie samodzielnie zaimplementować algorytm i odszyfrować poświadczenia.

Skutki

Atakujący uzyskuje dostęp do poświadczeń administratora urządzenia GeoVision, co daje mu pełną kontrolę nad jego konfiguracją — w tym możliwość zmiany adresu IP urządzenia lub przywrócenia go do ustawień fabrycznych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako tymczasowe środki zaradcze zaleca się ograniczenie dostępu do sieci LAN, w której działają urządzenia GeoVision, stosowanie segmentacji sieciowej (VLAN) oraz monitorowanie ruchu broadcast UDP w poszukiwaniu nieautoryzowanego nasłuchiwania.

Kogo dotyczy

GeoVision GV-IP Device Utility w wersji 9.0.5 oraz urządzenia GeoVision skonfigurowane i zarządzane przy użyciu tego narzędzia.

Uwagi

Podatność należy do kategorii CWE-656 (Reliance on Security Through Obscurity) — klucz szyfrujący zawarty jest bezpośrednio w przesyłanym pakiecie, co praktycznie eliminuje ochronę kryptograficzną. Atak wymaga obecności atakującego w tej samej sieci LAN oraz interakcji użytkownika z uprawnieniami administratora z narzędziem.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2026-42363 — GeoVision GV-IP Device Utility — wyciek danych uwierzytelniających przez słabe szyfrowanie UDP — CRITICAL 9.3 | CVEbaza.pl